Se você perdeu a demonstração ao vivo do Aikido pentest de IA, aqui está uma versão resumida do que aconteceu. Configuramos uma aplicação real, definimos a avaliação e observamos os agentes testarem fluxos ao vivo, explorarem a aplicação e apresentarem resultados confirmados com rastreamentos completos.
TL;DV
O pentesting é uma das partes mais lentas da segurança moderna. As equipas fazem implementações todos os dias, enquanto os testes ofensivos ainda acontecem uma vez por ano e chegam como um PDF estático que já está desatualizado. A demonstração começou com essa lacuna e, em seguida, passou imediatamente a mostrar como Aikido funciona dentro do produto.
%20(1).gif)
Configurar um teste de penetração no Aikido como dar instruções a uma equipa vermelha. Define o âmbito em linguagem simples, escolhe quais domínios os agentes podem atacar e quais devem permanecer acessíveis, e descreve o fluxo de autenticação exatamente como faria para um testador humano. Pode incluir MFA, fluxos SSO, redirecionamentos ou sequências de várias etapas. Os agentes seguem essas instruções.
Você também pode conectar repositórios e carregar contexto, como especificações de API, relatórios anteriores e documentação. Mais contexto melhora a avaliação, que é consistente tanto na demonstração quanto na nossa documentação.
Assim que a execução começou, o painel de controlo foi preenchido com terminais de agentes e sessões de navegador. Era possível observá-los a explorar rotas, executar tentativas de ataque, adaptar-se quando algo era bem-sucedido e validar as descobertas diretamente no ambiente ao vivo. Todas as ações eram visíveis, incluindo registos de pedidos e capturas de ecrã.
A página de resultados mostrou vulnerabilidades confirmadas com rastreamentos completos e etapas de reprodução.
%20(1).png)
Um exemplo apresentado na sessão ao vivo foi um problema de controlo de acesso inadequado, em que notas privadas podiam ser obtidas através de uma chamada de API.
%20(1).png)
Outro era uma injeção de comando que o AutoFix podia reparar automaticamente. Com um clique, a plataforma gerava uma solicitação pull e permitia um novo teste para confirmar a correção.
A plataforma Aikidoé a sua maior vantagem. Como o produto já compreende os seus repositórios, o seu contexto de segurança e o comportamento da sua aplicação, os agentes realizam testes com um conhecimento prévio que as abordagens tradicionais não possuem. Esse contexto melhora a profundidade da avaliação e permite que o AutoFix produza correções significativas e direcionadas.
%20(1).png)
A sessão terminou com o relatório em PDF pronto para auditoria e uma sessão de perguntas e respostas sobre controlo de âmbito, validação, testes de lógica de negócios e como pentest contínuo nos fluxos de trabalho normais de desenvolvimento.
pentest de IA
O que é pentest de IA Aikido?
Aikido agentes coordenados que exploram a aplicação, seguem fluxos reais de utilizadores, testam caminhos de ataque e validam a explorabilidade. Eles utilizam um navegador, um ambiente de terminal e um cliente HTTP. Quando liga o código e carrega o contexto, os agentes raciocinam através da lógica e do comportamento pretendido, em vez de dependerem de cargas úteis estáticas.
O resultado é um pentest que se adapta, explora e valida.
leia mais → https://help.aikido.dev/pentests/aikido-pentest
Em que isso difere das DAST tradicionais?
DAST dependem de padrões fixos. Elas têm dificuldade com etapas de autenticação, funções e fluxos de trabalho com várias etapas. Também tendem a produzir ruído.
Aikido funciona mais como um teste ofensivo humano. Os agentes leem o contexto, planeiam ações, executam ataques, observam os resultados e ajustam. Cada descoberta deve ser validada no ambiente alvo antes de aparecer no relatório.
Que tipos de problemas os agentes podem encontrar?
Tudo o que se espera de um teste de penetração:
- injeção de SQL
- Injeção de comando / RCE
- XSS
- SSRF
- controle de acesso quebrado
- IDOR / BOLA
- Falhas de autenticação
- Caminhos de API inseguros ou sensíveis
E, crucialmente, problemas de lógica de negócios que dependem da compreensão de como a aplicação deve se comportar.
Na demonstração, os agentes identificaram uma exposição de dados privados através de uma API. Em ambientes de clientes, eles encontraram incompatibilidades de permissão, desvios de fluxo de trabalho e problemas de acesso a dados entre tenants.
Mais detalhes → https://help.aikido.dev/pentests/what-issues-can-aikido-pentest-find
Ele pode realmente detectar IDOR e falhas de lógica de negócio?
Sim. Quando a plataforma compreende papéis, fluxos de dados e comportamento esperado, os agentes podem testar se os usuários conseguem acessar ou modificar recursos que não deveriam. Em várias comparações com testadores de penetração humanos, a execução autônoma revelou mais falhas de lógica.
Mais detalhes → https://help.aikido.dev/pentests/understanding-and-detecting-idor-vulnerabilities
Como prevenir alucinações ou falsos positivos?
Os agentes podem gerar hipóteses, mas a plataforma não confia nelas até que sejam validadas.
Para cada problema proposto, Aikido um teste de reprodutibilidade diretamente contra o alvo.
Apenas descobertas validadas aparecem no relatório.
Como manter o pentest seguro e dentro do escopo?
Você define:
- Domínios atacáveis
- Domínios alcançáveis, mas não atacáveis
- Instruções de autenticação
- Número máximo de agentes
- Horas de teste permitidas
Todo o tráfego de rede flui através de um proxy que bloqueia qualquer coisa fora do escopo.
Verificações preliminares confirmam que a autenticação e a conectividade funcionam antes do início da execução.
Se o pré-teste falhar, os créditos são reembolsados. Um botão de pânico interrompe o teste em segundos.
mais detalhes sobre o âmbito → https://help.aikido.dev/pentests/scope-of-assessment
O relatório final é aceite para SOC 2 e ISO 27001?
Sim. O PDF gerado inclui metodologia, âmbito, detalhes do problema, etapas de reprodução e orientações para correção.
Os clientes já utilizam esses relatórios para SOC 2, ISO 27001 e avaliações de fornecedores.
Você também pode baixar um relatório em PDF de amostra aqui: https://www.aikido.dev/attack/aipentest#report
Como o pentest de IA a um pentest humano?
Isso foi abordado na demonstração. Para aplicações web, a execução autónoma oferece cobertura comparável a um teste de penetração manual e, em vários casos, revelou falhas lógicas que a equipa humana não detectou.
As conclusões do nosso white paper corroboram isso: a IA identificou problemas lógicos profundos, como IDORs, contornamentos de autenticação e falsificações de assinaturas eletrónicas que os humanos ignoraram, enquanto os humanos tenderam a se concentrar mais na configuração e na conformidade.
A IA conclui o trabalho em horas, em vez de semanas.
A maioria das equipas usa pentest de IA base e adiciona a revisão humana quando necessário.
Preciso de dar acesso ao meu código?
Não é obrigatório, mas conectar repositórios torna a avaliação significativamente mais robusta. Com acesso ao código, os agentes podem compreender caminhos lógicos, regras de dados, funções e premissas de fluxo de trabalho. Esse contexto melhora a cobertura e reduz as suposições.
O modo caixa preta ainda funciona, mas é naturalmente mais lento e menos completo, pois os agentes precisam inferir a estrutura a partir do exterior.
Como funciona a fixação de preços?
Três pontos de entrada comuns:
- Recurso Pentest: CI/CD e implementações de novos recursos
- Teste de penetração padrão: auditoria abrangente
- Pentest avançado: análise mais aprofundada de aplicações maduras
- Empresa (preços personalizados): para organizações com necessidades avançadas de testes ofensivos
Uma análise mais detalhada está disponível aqui: https://www.aikido.dev/attack/aipentest
Que papel o AutoFix desempenha?
O AutoFix pega uma vulnerabilidade confirmada e transforma-a numa alteração concreta no código. Na demonstração, uma descoberta de injeção de comando produziu uma solicitação pull com a correção exata.
O valor é o loop:
O ataque encontra → O AutoFix propõe um PR → você faz a fusão → O ataque testa novamente a correção.
Como Aikido compreende os seus repositórios e estrutura, as correções são direcionadas e a verificação é imediata.
Como funciona o novo teste?
Você pode testar novamente qualquer problema quantas vezes forem necessárias durante três meses após a avaliação. Cada novo teste lança novos agentes para tentar a exploração novamente e garantir que a correção seja mantida.
Para onde isto vai a seguir?
Duas direções discutidas na demonstração:
- Integração mais suave com verificações pré-voo aprimoradas e estimativa automática de crédito.
- pentest contínuo. Executando o Attack on staging por padrão, acionando-o em implementações ou pull requests e mudando de um PDF anual para uma verificação contínua.
O pentesting passa a fazer parte do processo de envio.
Veja por si mesmo
Proteja seu software agora
.avif)
