Aikido
Comece Gratuitamente
Não é necessário cc
Blog
/
Engenharia

AutoTriage e o Modelo Queijo Suíço de Redução de Ruído de Segurança

Escrito por
Madeline Lawrence
Publicado em:
25 de outubro de 2025

AutoTriage e o Modelo Queijo Suíço de Redução de Ruído de Segurança

Ou, por que seus scanners tradicionais provavelmente relatam demais

O modelo do queijo suíço é uma forma clássica de raciocinar sobre risco. Em indústrias de segurança crítica, ele postula que incidentes ocorrem quando “falhas” em múltiplas defesas imperfeitas se alinham. Para mitigar esses riscos, você adiciona camadas de defesa para reduzir ou remover as falhas e evitar que resultados indesejados passem despercebidos.

Crédito: Ben Aveling

Em segurança de aplicações, incidentes são causados não apenas por explorações de código e configuração, mas também por uma erosão do foco de engenharia causada por falsos positivos e remediação lenta. O gerenciamento de vulnerabilidades é igualmente um problema de engenharia e processo, e Aikido adota uma abordagem estratégica para reduzir o ruído e acelerar as correções que importam.


A importância da defesa em camadas

Podemos visualizar um fluxo de trabalho AppSec moderno como incluindo um conjunto de “fatias” empilhadas, cada uma projetada para detectar diferentes tipos de problemas e reduzir a superfície de risco geral. Estes incluem:

  • Scanning de código e reachability
  • Triagem de issues para avaliar explorabilidade, prioridade e impacto
  • Probabilidade de exploração e seu contexto de ambiente
  • Controles human-in-the-loop (IDEs locais, sistemas de CI, fluxos de aprovação de PR)
  • A correção real do código usando humanos e LLMs

Cada um dos itens acima pode representar tanto um ponto fraco explorável quanto um gargalo para a remediação. Os fluxos de trabalho de Aikido são, portanto, direcionados a reduzir implacavelmente o atrito para que vulnerabilidades reais sejam remediadas onde são mais exploráveis.

Reduza as falhas com reachability

Um ponto fraco do scanning de código tradicional é que o “sucesso” pode ser mal interpretado como encontrar o maior número possível de issues. Isso inclui descobertas relatadas como vulnerabilidades mesmo quando o caminho de código vulnerável ou pacote não pode ser alcançado a partir de entradas controladas pelo usuário. O motor de reachability de Aikido adiciona análise de fluxo de programa para ignorar automaticamente tais casos logo de início. Isso por si só elimina uma parte significativa do ruído.

Por exemplo, um scanner SCA tradicional pode detectar uma versão desatualizada de pyyaml contendo uma vulnerabilidade crítica. No entanto, Reachability analysis mostra que não há nenhum código que realmente utilize o pacote. Portanto, a issue pode ser seguramente auto-ignorada apesar de sua severidade documentada.

AutoTriage como um mecanismo de raciocínio

Se a reachability determinar que uma descoberta é nominalmente explorável, Aikido AutoTriage questiona o seguinte:

  1. Podemos descartar a explorabilidade? Ou seja, existe validação, sanitização ou casting eficaz que mitigue a exploração.
  2. Se não pudermos descartá-la, como devemos priorizá-la? Estimamos a probabilidade e a severidade e, em seguida, classificamos de acordo.

Nós publicamos anteriormente como modelos de raciocínio ajudam aqui. Em muitos casos, “regras de bolso” são suficientes (e mais baratas). Para casos mais complexos (por exemplo, path traversals), modelos de raciocínio reduzem ainda mais os falsos positivos ao decompor o problema.

A base de tudo isso é uma consciência aguçada do efeito 'Cry Wolf', onde muitos alertas de baixo valor degradam a confiança e a resposta. Reduzi-lo é um objetivo principal do AutoTriage.

Probabilidade de exploração e contexto do ambiente

A probabilidade de exploração no mundo real importa. Aikido usa EPSS para ignorar ou rebaixar automaticamente problemas de baixo risco e focar as equipes onde os ataques estão realmente acontecendo. Como o EPSS é atualizado diariamente, essa camada mantém o stack alinhado com a realidade atual das ameaças, em vez de pontuações CVSS históricas.

Além disso, nós elevamos ou rebaixamos a severidade com base no contexto, como exposição à internet, ambientes de desenvolvimento vs. produção e controles circundantes. É aqui que a coleta de contexto é crítica. Se o contexto estiver errado, a decisão de severidade estará errada. É por isso que investimos no ajuste de prompts de nossos LLMs e na alimentação dos detalhes corretos de código e ambiente nos modelos que realizam o AutoTriage.


A alcançabilidade mostra que esta exploração é alcançável no código. No entanto, a análise de IA determina que, no contexto, esta vulnerabilidade de falsificação de requisição não tem efeito porque o domínio do host é hardcoded e não pode ser alterado pelo atacante.

Humano no ciclo onde importa

A IA generativa tem um problema de loop de feedback bem documentado. Os humanos ainda são necessários para verificar os resultados e, em última instância, decidir se devem ser lançados. Aikido intencionalmente apresenta suas recomendações nos locais onde sua equipe já trabalha:

  • No seu IDE para que você possa fazer correções rápidas antes de enviar para um repositório compartilhado e executar pipelines de CI
  • Em PRs para que os revisores vejam o contexto de triagem e as sugestões de AutoFix assim que o código for alterado,
  • Em CI, para que você possa colocar a segurança no contexto de seus pipelines automatizados existentes de build, teste e deploy

O objetivo é reservar tempo, esforço e julgamento humanos para os locais onde são realmente necessários.

AutoFix para lançar correções imediatamente

Se uma descoberta for provavelmente explorável e de alto impacto, o melhor alerta é aquele que inclui uma correção documentada com o contexto já montado pelo Aikido. Aikido AI AutoFix fornece uma prévia da mudança necessária para corrigir, gera o pull request para o seu repositório e oferece comentários detalhados sobre a alteração do código e quais vulnerabilidades são resolvidas.

AutoFix está atualmente disponível para SAST, varredura IaC, SCA e imagens Container. Seu código nunca é armazenado persistentemente por uma tecnologia de IA nem permitido para ser usado para treinar modelos de IA (consulte o trust center do Aikido para saber mais).

Colocando o Aikido para funcionar

O modelo original do queijo suíço ensina que os incidentes surgem de fraquezas alinhadas. Na segurança de aplicações, ruído e atraso são duas dessas fraquezas. Se você é novo no Aikido, inicialmente pode se perguntar por que vê menos problemas de segurança sendo apresentados do que esperaria. Isso é intencional! Aikido trabalha intencionalmente e proativamente para minimizar o trabalho administrativo que você deve realizar para triar centenas de problemas onde apenas alguns podem ter um impacto significativo.

Ao sobrepor alcançabilidade, triagem orientada por raciocínio, validação humana quando justificada e correções com um clique, tornamos muito mais difícil para esses "buracos" se alinharem e muito mais fácil para sua equipe avançar para o trabalho que realmente importa.

Última atualização em:
7 de janeiro de 2026
Compartilhar:

https://www.aikido.dev/blog/autotriage-and-the-swiss-cheese-model-of-security-noise-reduction

Assine para receber notícias sobre ameaças.

Proteja seu software agora

Comece hoje, gratuitamente.

Comece Gratuitamente
Não é necessário cc
Posts Semelhantes
Ver todos
Ver todos
10 de abril de 2023
Engenharia

Como a Cloud de uma startup foi comprometida por um formulário simples de envio de e-mails

Esta é a história de um invasor que obteve acesso aos buckets do Amazon S3 de uma startup, variáveis de ambiente e vários Secrets de API internos.

#
AWS
#
SSRF
#
IMDSv1

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar Análise
Não é necessário cc
Agendar uma demonstração
Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.