Os testes de penetração faziam sentido quando as versões eram lançadas a cada poucos meses. Uma avaliação pontual podia fornecer uma imagem precisa do risco durante semanas, por vezes meses. Hoje em dia, as equipas de engenharia lançam atualizações de forma contínua. O nosso inquérito «State of AI in Pentesting», realizado junto de 200 CISOs e 200 líderes de engenharia, revelou que 76% implementam alterações significativas pelo menos uma vez por semana, enquanto quase 40% o fazem diariamente. No entanto, apenas 21% validam a segurança em cada lançamento.
Essa lacuna tem consequências.
- 79% estão preocupados com a possibilidade de não serem detetadas vulnerabilidades entre os testes de penetração.
- Metade afirma que as conclusões já estão desatualizadas quando o relatório chega.
- 64 % afirmam que os prazos dos testes de segurança influenciam as decisões de lançamento, quer atrasando as implementações, quer obrigando as equipas a aceitar riscos adicionais.
Para muitas organizações, pentest de IA tornar-se a forma prática de colmatar essa lacuna. No entanto, como se trata ainda de uma categoria relativamente nova, os compradores avaliam frequentemente as plataformas com base em critérios concebidos para os testes de penetração tradicionais. Esses critérios já não permitem determinar qual a plataforma que terá melhor desempenho quando for integrada no seu fluxo de trabalho de desenvolvimento.
Perguntas a que qualquer pentest de IA deve ser capaz de responder
Todos os fornecedores podem demonstrar a deteção de vulnerabilidades.
As questões mais complexas surgem assim que a plataforma passa a fazer parte do seu fluxo de trabalho de engenharia. Será que consegue utilizar o código-fonte? Como se evita que os agentes de IA saiam do âmbito definido? A plataforma continuará a proporcionar valor à medida que o seu software for evoluindo?
A plataforma pode utilizar código-fonte?
Em mais de 1 000 testes de penetração com IA, os testes de caixa aberta revelaram 7 vezes mais vulnerabilidades, exigindo menos tentativas do que os testes de caixa cinzenta, por si só.
Nem todas pentest de IA suportam testes de caixa aberta, e as que o fazem não utilizam necessariamente o código-fonte da mesma forma. Compreender como os fornecedores utilizam o código e as evidências subjacentes aos resultados deve fazer parte de todas as avaliações.
Pergunte aos fornecedores:
- A plataforma suporta testes de caixa branca?
- O acesso ao código é opcional?
- Como é que o código-fonte é utilizado durante os testes?
- Como é que o código-fonte do cliente é protegido?
- Que dados comprovam que o acesso ao código melhora os resultados?

Está a comparar os fornecedores de forma justa?
A avaliação de um fornecedor só é útil se todas as plataformas forem testadas em condições comparáveis.
Se um fornecedor receber o código-fonte e outro não, ou se uma plataforma demorar significativamente mais tempo a executar-se ou consumir substancialmente mais créditos, os relatórios finais tornam-se difíceis de comparar.
Uma das recomendações do guia é:

A lista de verificação aprofunda este tema com perguntas práticas que abrangem a autenticação, o código-fonte, o âmbito, a validação e a elaboração de relatórios, para que todos os fornecedores sejam avaliados nas mesmas condições.
Como é que se garante que os testes se mantêm dentro do âmbito?
Os agentes de IA são concebidos para explorar aplicações. Os compradores devem compreender exatamente como esses limites são aplicados.
Pergunte como é aplicado o âmbito. A produção pode ser excluída por predefinição? Os domínios estão incluídos numa lista de permissões? O que acontece se um agente seguir um redirecionamento para fora do ambiente acordado? É possível monitorizar ou interromper os testes enquanto estão a decorrer?
As plataformas mais robustas aplicam estes controlos a nível técnico, em vez de recorrerem a avisos ou instruções escritas.
Como é que a plataforma se adapta às alterações no software?
As equipas de engenharia modernas não param de lançar atualizações depois de concluído um teste de penetração. Novo código, novas funcionalidades e novas dependências alteram a superfície de ataque.
Pergunte aos fornecedores como é que a plataforma deles se integra no seu processo de lançamento. Os testes podem ser executados automaticamente à medida que o software sofre alterações? Com que rapidez é que uma nova aplicação pode ser integrada? As correções são testadas novamente sem ser necessário agendar mais uma intervenção? Quanto tempo demora a obter os primeiros resultados significativos?
Estas questões tornam-se cada vez mais importantes para as organizações que realizam implementações várias vezes por semana ou que integram a segurança diretamente no CI/CD.
Sinais de alerta comuns durante uma avaliação
O guia também destaca sinais de alerta que merecem uma análise mais aprofundada.
- Os fornecedores não conseguem explicar como é que os resultados são validados.
- O acesso ao código é indeferido na ausência de provas comparativas.
- As barreiras de segurança baseiam-se em avisos, em vez de controlos técnicos.
- Todas as demonstrações centram-se em vulnerabilidades conhecidas da OWASP, com poucos indícios de testes à lógica de negócio.
Nenhum destes fatores exclui automaticamente uma plataforma, mas cada um merece uma análise mais aprofundada antes de se tomar uma decisão.
Descarregue o Guia pentest de IA
Os exemplos acima são apenas uma pequena parte do quadro de avaliação.
O guia completo inclui ainda:
- Uma lista de verificação prática para a avaliação de fornecedores
- Comparações entre testes de penetração com IA e manuais
- Estudo baseado em mais de 1 000 testes de penetração com IA
- Análise dos testes de caixa branca em comparação com os testes de caixa cinzenta
- Principais conclusões do nosso relatório «O estado da IA nos testes de penetração»
- Um estudo de caso anónimo de um cliente em que pentest de IA 13 falhas, depois de um teste de penetração manual de 120 horas não ter detetado nenhuma
Quer esteja a avaliar Aikido outra plataforma, este guia foi concebido para o ajudar a comparar todos os fornecedores com base no mesmo conjunto de critérios.
Descarregue aqui o guia completo:

