Se você perdeu a demonstração ao vivo do Aikido pentest de IA, aqui está a versão resumida do que aconteceu. Configuramos uma aplicação real, configuramos a avaliação e observamos os agentes testarem fluxos em tempo real, explorarem o aplicativo e identificarem descobertas confirmadas com rastros completos.
TL;DV
Pentest é uma das partes mais lentas da segurança moderna. As equipes fazem deploy todos os dias, enquanto os testes ofensivos ainda acontecem uma vez por ano e chegam como um PDF estático que já está desatualizado. A demonstração começou abordando essa lacuna e então imediatamente passou a mostrar como o Aikido Attack funciona dentro do produto.
%20(1).gif)
Configurar um pentest no Aikido é como fazer um briefing para uma equipe de red team. Você define o escopo em linguagem clara, escolhe quais domínios os agentes podem atacar e quais devem permanecer acessíveis, e descreve o fluxo de autenticação exatamente como faria para um testador humano. Você pode incluir MFA, fluxos de SSO, redirecionamentos ou sequências de várias etapas. Os agentes seguem.
Você também pode conectar repositórios e fazer upload de contexto, como especificações de API, relatórios anteriores e documentação. Mais contexto melhora a avaliação, o que é consistente tanto na demonstração quanto em nossa documentação.
Assim que a execução começou, o dashboard foi preenchido com terminais de agente e sessões de navegador. Você podia observá-los explorarem rotas, executarem tentativas de ataque, se adaptarem quando algo era bem-sucedido e validarem descobertas diretamente no ambiente ao vivo. Cada ação era visível, até logs de requisição e capturas de tela.
A página de descobertas mostrou vulnerabilidades confirmadas com rastros completos e passos de reprodução.
%20(1).png)
Um exemplo na sessão ao vivo foi um problema de controle de acesso impróprio onde notas privadas podiam ser obtidas através de uma chamada de API.
%20(1).png)
Outro foi uma injeção de comando que o AutoFix poderia reparar automaticamente. Com um clique, a plataforma gerou um pull request e permitiu um novo teste para confirmar a correção.
A plataforma do Aikido é a maior vantagem. Como o produto já entende seus repositórios, seu contexto de segurança e como sua aplicação se comporta, os agentes testam com um conhecimento de base que as abordagens tradicionais não possuem. Esse contexto melhora a profundidade da avaliação e permite que o AutoFix produza correções significativas e direcionadas.
%20(1).png)
A sessão terminou com o relatório PDF pronto para auditoria e uma sessão de perguntas e respostas cobrindo controle de escopo, validação, testes de lógica de negócios e como o pentest contínuo se encaixará nos fluxos de trabalho de desenvolvimento normais.
FAQ sobre pentest de IA
O que é pentest de IA dentro do Aikido?
Aikido usa agentes coordenados que exploram a aplicação, seguem fluxos de usuário reais, testam caminhos de ataque e validam a explorabilidade. Eles usam um navegador, um ambiente de terminal e um cliente HTTP. Quando você conecta código e faz upload de contexto, os agentes raciocinam através da lógica e do comportamento pretendido, em vez de dependerem de payloads estáticos.
O resultado é um pentest que se adapta, explora e valida.
leia mais → https://help.aikido.dev/pentests/aikido-pentest
Como isso é diferente das ferramentas DAST tradicionais?
Ferramentas DAST dependem de padrões fixos. Elas têm dificuldade com etapas de autenticação, funções e fluxos de trabalho de várias etapas. Também tendem a produzir ruído.
Aikido Attack se comporta mais como testes ofensivos humanos. Os agentes leem o contexto, planejam ações, executam ataques, observam os resultados e se ajustam. Cada descoberta deve ser validada no ambiente alvo antes de aparecer no relatório.
Que tipos de problemas os agentes podem encontrar?
Tudo o que se espera de um teste de penetração:
- injeção de SQL
- Injeção de comando / RCE
- XSS
- SSRF
- Controle de acesso quebrado
- IDOR / BOLA
- Falhas de autenticação
- Caminhos de API inseguros ou sensíveis
E, crucialmente, problemas de lógica de negócios que dependem da compreensão de como a aplicação deve se comportar.
Na demonstração, os agentes identificaram uma exposição de dados privados através de uma API. Em ambientes de clientes, eles encontraram incompatibilidades de permissão, desvios de fluxo de trabalho e problemas de acesso a dados entre tenants.
Mais detalhes → https://help.aikido.dev/pentests/what-issues-can-aikido-pentest-find
Ele pode realmente detectar IDOR e falhas de lógica de negócio?
Sim. Quando a plataforma compreende papéis, fluxos de dados e comportamento esperado, os agentes podem testar se os usuários conseguem acessar ou modificar recursos que não deveriam. Em várias comparações com testadores de penetração humanos, a execução autônoma revelou mais falhas de lógica.
Mais detalhes → https://help.aikido.dev/pentests/understanding-and-detecting-idor-vulnerabilities
Como prevenir alucinações ou falsos positivos?
Os agentes podem gerar hipóteses, mas a plataforma não confia nelas até que sejam validadas.
Para cada problema proposto, o Aikido executa um teste de reprodutibilidade diretamente contra o alvo.
Apenas descobertas validadas aparecem no relatório.
Como manter o pentest seguro e dentro do escopo?
Você define:
- Domínios atacáveis
- Domínios alcançáveis, mas não atacáveis
- Instruções de autenticação
- Número máximo de agentes
- Horas de teste permitidas
Todo o tráfego de rede flui através de um proxy que bloqueia qualquer coisa fora do escopo.
Verificações preliminares confirmam que a autenticação e a conectividade funcionam antes do início da execução.
Se o pré-teste falhar, os créditos são reembolsados. Um botão de pânico interrompe o teste em segundos.
mais detalhes sobre o escopo → https://help.aikido.dev/pentests/scope-of-assessment
O relatório final é aceito para SOC 2 e ISO 27001?
Sim. O PDF gerado inclui metodologia, escopo, detalhes do problema, passos para reprodução e orientação de remediação.
Clientes já utilizam esses relatórios para SOC 2, ISO 27001 e avaliações de fornecedores.
Você também pode baixar um relatório PDF de exemplo aqui: https://www.aikido.dev/attack/aipentest#report
Como o pentest de IA se compara a um pentest humano?
Isso foi abordado na demonstração. Para aplicações web, a execução autônoma oferece cobertura comparável a um pentest manual e, em vários casos, descobriu falhas lógicas que a equipe humana não percebeu.
As descobertas do nosso whitepaper confirmam isso: a IA identificou problemas lógicos profundos, como IDORs, bypasses de autenticação e falsificações de assinatura eletrônica que os humanos negligenciaram, enquanto os humanos tendiam a focar mais em configuração e conformidade.
A IA conclui em horas, em vez de semanas.
A maioria das equipes usa o pentest de IA como base e adiciona revisão humana quando necessário.
Preciso conceder acesso ao meu código?
Não é obrigatório, mas conectar repositórios torna a avaliação significativamente mais robusta. Com acesso ao código, os agentes podem compreender caminhos lógicos, regras de dados, papéis e premissas de fluxo de trabalho. Esse contexto melhora a cobertura e reduz as suposições.
O modo black-box ainda funciona, mas é naturalmente mais lento e menos completo porque os agentes precisam inferir a estrutura a partir do exterior.
Como funciona a precificação?
Três pontos de entrada comuns:
- Feature Pentest: CI/CD e implantações de novas funcionalidades
- Standard Pentest: Auditoria abrangente
- Advanced Pentest: Análise mais aprofundada de aplicações maduras
- Enterprise (Preço Personalizado): Para organizações com necessidades avançadas de testes ofensivos
Um detalhamento mais aprofundado está disponível aqui: https://www.aikido.dev/attack/aipentest
Que papel o AutoFix desempenha?
O AutoFix pega uma vulnerabilidade confirmada e a transforma em uma mudança de código concreta. Na demonstração, uma descoberta de command-injection gerou um pull request com a correção exata.
O valor está no ciclo:
Attack encontra → AutoFix propõe um PR → você faz o merge → Attack retesta a correção.
Como o Aikido já entende seus repositórios e estrutura, as correções são direcionadas e a verificação é imediata.
Como funciona o reteste?
Você pode retestar qualquer problema quantas vezes forem necessárias por três meses após a avaliação. Cada reteste lança novos agentes para tentar a exploração novamente e garantir que a correção se mantenha.
Qual é o próximo passo?
Duas direções discutidas na demonstração:
- Onboarding mais fluido com verificações iniciais aprimoradas e estimativa automática de crédito.
- pentest contínuo. Executando Attack em staging por padrão, acionando-o em deployments ou pull requests, e passando de um PDF anual para uma verificação contínua.
O pentest integra-se ao seu processo de entrega.
Confira você mesmo
