Você já conhece esse problema, porque o vive.
Se a sua empresa está em crescimento, você realiza um teste de penetração uma vez por ano... talvez duas vezes, se a conformidade assim o exigir. Você agenda o compromisso, congela as alterações, espera semanas e recebe um PDF. Quando o relatório chega, a sua aplicação já mudou.
Se você faz parte de uma organização maior, com uma equipa de segurança interna, o quadro é diferente, mas a restrição é a mesma. A sua equipa está a testar. Eles são bons nisso. Mas estão a fazer escolhas difíceis todos os dias sobre o que cobrir e o que ignorar, porque não conseguem analisar todas as alterações em todas as áreas com a profundidade que elas merecem. Eles estão a triar não apenas as descobertas, mas também o que devem analisar.
Em ambos os lados, os testes nunca acompanham o ritmo das entregas. Hoje, isso muda.
A lacuna que aumenta a cada implementação
Imagine o seu histórico de compromissos ao longo do último ano. Agora imagine os seus testes de penetração, sejam eles dois compromissos externos ou o esforço contínuo da sua equipa interna.
A sua organização de engenharia pode enviar milhares de linhas por dia. A sua equipa de segurança, independentemente do seu nível de competência ou dos recursos disponíveis, pode analisar manualmente apenas uma fração disso com a profundidade de um teste de penetração.
Cada alteração que não foi testada é uma versão da sua aplicação que nunca foi totalmente validada. Se uma vulnerabilidade foi introduzida entre os testes, ela permanece em produção até a próxima vez que alguém revisar esse caminho. A superfície de ataque cresce a cada implementação. A capacidade de segurança não acompanha esse crescimento.
Este é um problema estrutural. Não é possível resolvê-lo com verificações mais rápidas, alertas melhores ou mais pessoal. Precisamos mudar o modelo. Das 500 pessoas responsáveis pela segurança e engenharia que pesquisámos, 76% implementam alterações significativas na produção todas as semanas ou com mais frequência. Apenas 21% validam a segurança em cada lançamento. E 85% afirmaram que as suas conclusões sobre segurança já estão desatualizadas quando a análise chega.
Essa lacuna entre o navio e a segurança não é teórica. É a janela pela qual os invasores entram. E eles estão ficando mais rápidos: esta semana, pesquisadores revelaram que um único hacker usou o Claude para invadir várias agências governamentais mexicanas, exfiltrando 150 GB de registos de contribuintes e eleitores. Uma pessoa, uma ferramenta de IA, milhares de comandos automatizados. Os invasores agora têm brinquedos superpoderosos. É hora dos defensores terem os seus.
Entre no Aikido
No mês passado, quando anunciámos a nossa Série B, fizemos uma promessa: o próximo capítulo da Aikido sobre software auto-protegido. Software que se protege a si próprio à medida que é construído e lançado. Hoje, estamos a cumprir essa promessa.
O que é
Aikido é um teste de penetração autónomo contínuo com correção integrada. Sempre que a sua aplicação é alterada, agentes autónomos testam a implementação, validam o que é realmente explorável, geram patches e testam novamente as correções, tudo isso antes que o código entre em produção: Teste de penetração em cada lançamento. Aplique patches automaticamente.
Não, não é DAST batom LLM.
Durante anos, DAST o que a indústria tinha de mais próximo dos testes de segurança contínuos, e ninguém jamais disse "esse DAST ótimo" (desculpe, mas não sinto muito). Não há profundidade. Não há relação sinal-ruído. Não há correção. A Infinite funciona de forma diferente: agentes ofensivos autónomos que raciocinam sobre o comportamento da aplicação, encadeiam caminhos de ataque em várias etapas, aproveitam um extenso conjunto de ferramentas e validam a explorabilidade através de exploração real. Num caso, os agentes descobriram que era possível falsificar assinaturas numa aplicação de assinatura de documentos: descobriram alterações na autenticação -> iniciaram sessão como membro -> escalaram privilégios -> confirmaram a autorização quebrada. Isto não évarredura dinâmica dos seus avós.
Como funciona
Quando um novo código é lançado, Aikido analisa as diferenças e identifica as alterações que afetam a sua superfície de ataque. Atualizou um README e a cor do botão? Ignorado. Alterou a lógica de autenticação ou os pontos finais da API? Os agentes avaliam o impacto e iniciam a ação.
1. Descobrir: O Infiniteingere o contexto da plataforma de código para tempo de execução Aikido(código-fonte, arquitetura de aplicativos, especificações de API, configuração de nuvem) e mapeia toda a superfície de ataque, incluindo pontos finais não documentados, caminhos lógicos ocultos e anomalias arquitetónicas que consomem muito tempo para revisão manual. Os agentes analisam o seu sistema como um todo, compreendendo como os componentes interagem e onde as suposições falham.
2. Explore todos os caminhos que foram alterados: é aqui que o Infinite diverge das verificações do scanner, que analisam os componentes isoladamente, um repositório, um ficheiro, um risco teórico de cada vez. Na realidade, a segurança falha nas costuras. Uma única alteração de linha pode afetar todas as rotas protegidas na sua aplicação. Duas alterações que são seguras individualmente podem ser perigosas quando combinadas: um novo campo de API aqui, uma verificação de permissão mais flexível ali e, de repente, há um vazamento de dados entre locatários que nenhuma das alterações teria causado sozinha.
Esses são os tipos de problemas que os testes de penetração existem para encontrar, porque eles só aparecem na configuração real em execução, onde os componentes interagem como um todo. O problema sempre foi que testar todas as combinações nessa profundidade é difícil e caro. O Infinite torna isso padrão. Agentes especializados buscam todas as rotas de ataque viáveis na superfície afetada: falhas de injeção, controle de acesso quebrado, fraquezas de autenticação, SSRF, erros de lógica de negócios, exposição de dados entre locatários, tudo usando caminhos de ataque reais em vez de cargas úteis fixas. Quando um agente encontra algo, essa inteligência é realimentada no ciclo, revelando riscos encadeados. Os agentes trabalham em paralelo em todos os recursos relevantes para a segurança simultaneamente.
3. Validar: todasas descobertas são confirmadas através da exploração direta contra o alvo real. Problemas que não podem ser reproduzidos não são incluídos nos resultados.
4. AutoFix e novo teste: o AutoFix gera um PR pronto para fusão com a correção específica no nível do código, direcionada à sua implementação real. Os programadores revisam, mesclam e os agentes testam novamente automaticamente para confirmar que a correção foi bem-sucedida. Em poucas horas, uma vulnerabilidade passa de descoberta para resolvida e verificada.
Como o Infinite vive dentro da Aikido , ele tem um contexto que as ferramentas de teste de penetração independentes simplesmente não têm. Esse contexto de infraestrutura para código é o que torna a descoberta mais profunda, as correções mais precisas e os testes contínuos realmente viáveis.
O que antes levava semanas ou trimestres agora acontece em horas. Os agentes fazem o trabalho pesado. A sua equipa analisa, combina e segue em frente.
_1-2.png)
Lançamento → Diferença do teste de penetração → Patch → Novo teste → Envio para produção.
Comprovado em código real
Esses agentes já estão encontrando vulnerabilidades complexas em aplicações e estruturas amplamente utilizadas, problemas que passaram despercebidos mesmo após anos de análise pela comunidade e escrutínio por especialistas.
No Coolify, os nossos agentes identificaram sete CVEs, incluindo escalação de privilégios e comprometimento total do host via RCE como root, em mais de 52.000 instâncias expostas. No Astro, eles encontraram o CVE-2026-25545, um SSRF no adaptador Node.js que expõe recursos de rede interna. No SvelteKit no Vercel, eles rastrearam o SvelteSpill, uma falha de engano de cache em 150.000 linhas de código que afetava todas as implementações padrão. O Vercel implementou uma correção em toda a plataforma após a divulgação.
Numa comparação direta entre aplicações de assinatura de documentos, os agentes descobriram uma falha crítica na integridade do fluxo de trabalho que permitia a falsificação de assinaturas eletrónicas, além de 12 instâncias de XSS. Os pentesters manuais, uma equipa sênior que trabalhou durante duas semanas, encontraram um XSS e um SSRF. Sete das nove descobertas foram verificações de fortalecimento, e eles não detectaram a falsificação de assinaturas. (White paper completo aqui).
Em todos os casos, trata-se de problemas complexos e com várias etapas em bases de código maduras. Os especialistas que não os detectaram não são juniores. São profissionais seniores que trabalham sob as mesmas restrições que todas as equipas de segurança enfrentam: horas limitadas, prioridades concorrentes, alta pressão e mais código para revisar do que qualquer equipa consegue analisar em profundidade.
Para a IA, essa restrição desaparece. O acesso dos agentes ao código-fonte é instantâneo, e eles se adaptam à riqueza do contexto que absorvem. Mais código, mais contexto de arquitetura, melhores resultados, sem aumento de custos. Os testadores especializados concentraram-se na conformidade e na configuração porque era aí que dedicavam o seu tempo. Os agentes aprofundaram-se porque podiam.
Mesmo as maiores empresas não têm especialistas suficientes para testar exaustivamente todas as alterações de código implementadas nas suas aplicações. Agora, podemos capacitar todas as equipas com acesso a análises aprofundadas, sempre ativas, para cada alteração. Pense nisso como uma equipa de hackers de elite 100% dedicada à sua aplicação, disponível 24 horas por dia.
%20copy-2%20(1)%20copy-2.gif)
O que o Infinite significa para as suas equipas
Os atacantes têm brinquedos superpoderosos. Isso dá aos defensores os seus.
Para profissionais de segurança: o Infinite multiplica a capacidade de teste da sua equipa. Os agentes lidam com a validação exaustiva em cada lançamento, expandindo a cobertura automaticamente para que os seus especialistas possam se concentrar nos pontos mais importantes e nas decisões críticas. Amplitude, velocidade e testes aprofundados em todas as diferenças que, de outra forma, consumiriam a largura de banda da equipa ou simplesmente não seriam realizados. Os profissionais de segurança obtêm mais capacidade para a criatividade, o contexto empresarial e os problemas mais difíceis. O Infinite permite que as equipas de segurança passem do modo «verificar o essencial», com recursos limitados, para o modo «verificar tudo» por predefinição.
Para programadores: a sua equipa está a enviar 10 vezes mais código do que há um ano. O Infinite significa que pode confiar na comparação. Chega de tickets de segurança a aparecer a meio do ciclo com passos de reprodução pouco claros. O Infinite encontra problemas, gera correções e abre o PR. Você revê, mescla e volta a construir.
O que vem a seguir?
O Infinite é o nosso principal produto e a concretização de uma visão que temos vindo a construir: software com segurança automática. ✨
Hoje, a Infinite fecha o ciclo entre envio e segurança. Cada execução enriquece a base de conhecimento de segurança Aikido sobre a sua aplicação com descobertas reais, caminhos de ataque validados e correções confirmadas. Para onde essa base de conhecimento vai a seguir, como ela influencia a forma como o código é escrito (ou gerado) em primeiro lugar, bem, você provavelmente pode imaginar por que escolhemos o nome Infinite. Como James Berthoty, fundador da Latio Tech, alude:
Num mercado concorrido, Aikido é uma abordagem genuinamente única para proteger o código gerado por IA, utilizando pentest de IA contínuos pentest de IA tornar cada teste melhor do que o anterior e a geração de código mais segura por padrão.
Da próxima vez que tiver notícias minhas, será com um clichê, mas com um gráfico bem elaborado: "segurança ao longo do ciclo de vida do software como um símbolo de infinito". Temos muito mais a construir. E continuaremos a nos esforçar até que a segurança funcione na velocidade que o software exige e que os programadores merecem.
Quer experimentar o Infinite hoje? Pode começar gratuitamente, agendar uma demonstração ou entrar no infinito no próximo mês na RSA em São Francisco.
xo Madeline, Aikido
E sim, o vídeo de lançamento é uma paródia do filme Matrix:
