Aikido
Comece Gratuitamente
Não é necessário cc
Casos de sucesso

Cope: Aikido Pentest encontrou falhas de alta gravidade em 2 horas. O pentest humano levou 120 horas e não encontrou nada.

Migrado de -

120
Horas de pentest manual comparadas a
0
Descobertas relatadas pelo pentest manual
2
Horas de pentest de IA realizadas
Múltiplas
Problemas de alta gravidade encontrados pelo pentest de IA
Publicado em:
16 de fevereiro de 2026
Última atualização em:
16 de fevereiro de 2026

Em resumo

  • Identificou várias vulnerabilidades de alta e baixa gravidade em uma plataforma financeira complexa
  • Encontrou vulnerabilidades reais em aproximadamente 2 horas, depois que um pentest manual de 120 horas relatou zero descobertas
  • Mesmo com a cobertura mais restrita da Aikido (20 agentes de ataque), foram descobertas vulnerabilidades que os penetration testers não encontraram
  • Foram descobertas vulnerabilidades com origem em lógica de aplicação personalizada, design de autorização, configurações incorretas, hardening e algoritmos de criptografia.
  • Validou o isolamento de tenants, a aplicação de papéis e a proteção de funcionalidades privilegiadas
  • Agrupou descobertas relacionadas para ajudar as equipes a corrigir as causas-raiz, em vez de sintomas individuais.

Desafio

A Cope é uma consultoria sueca de finanças digitais e operações que opera uma plataforma financeira complexa com requisitos rigorosos de autorização e isolamento de tenants. O sistema suporta múltiplos modelos de tenant e lida com dados financeiros e operacionais sensíveis para seus clientes.

Devido a essa complexidade, falhas de autorização eram uma preocupação primordial. Problemas envolvendo acesso entre tenants, falha na aplicação de papéis ou acesso não intencional a funcionalidades privilegiadas poderiam ter sérios impactos nos negócios e na conformidade.

Para validar sua postura de segurança, a Cope encomendou um teste de penetração manual de 120 horas. O relatório final retornou com zero descobertas.

Em vez de aumentar a confiança, o resultado levantou preocupações internamente.

“Quando o pentest manual retornou com zero descobertas, isso não aumentou nossa confiança. Com um aplicativo desse tamanho e tanta lógica de autorização personalizada, tínhamos certeza de que deveria haver vulnerabilidades que simplesmente não estávamos vendo”, disse Alvar Markhester, CTO da Cope.

A Cope queria uma garantia mais profunda sem depender apenas de testes humanos infrequentes e com tempo limitado.

Executando o pentest de IA

A Cope executou o pentest de IA da Aikido contra sua aplicação com conhecimento detalhado da estrutura da plataforma, APIs e modelo de autorização, via a opção white-box usando acesso ao repositório.

Neste caso, a Cope utilizou a cobertura mais restrita da Aikido, com 20 agentes de ataque.

Dado o tamanho do sistema e a quantidade de lógica customizada envolvida, entender como a autorização deveria funcionar era crítico.

“Como a aplicação reside em um grande monorepo com muita lógica customizada, ter uma ferramenta que pudesse realmente entender o contexto de como a autorização deveria funcionar fez uma grande diferença.”

A equipe descreveu seus modelos de tenant, controles de acesso baseados em função e funcionalidades privilegiadas que nunca deveriam ser expostas.

O objetivo era claro. Garantir que os usuários não pudessem acessar dados ou funcionalidades fora do seu escopo pretendido, mesmo através de casos de borda e caminhos de lógica complexos.

O que o pentest de IA encontrou

Apesar do pentest manual anterior não ter encontrado nada, o pentest de IA da Aikido descobriu múltiplos problemas de autorização válidos.

Isso incluiu alguns problemas de alta severidade com impacto significativo na segurança e nos negócios, bem como problemas adicionais de menor prioridade que destacaram uma aplicação mais fraca ou inconsistente.

Para ajudar a equipe de engenharia a agir de forma eficiente, a Aikido agrupou os achados relacionados. Isso permitiu que as equipes abordassem classes inteiras de problemas em vez de corrigir problemas individuais isoladamente.

Os achados não eram superficiais.

O pentest de IA descobriu múltiplas falhas de autorização de alta severidade em toda a aplicação. Esses problemas afetaram ações privilegiadas, recursos compartilhados e limites de tenant, e estavam enraizados na lógica customizada da aplicação, em vez de uma simples má configuração. Todos eles foram perdidos pelo pentest manual de 120 horas.

“As descobertas não eram problemas óbvios, eram complexas, então ficamos extremamente impressionados com o Aikido Attack”, disse Alvar. 

Os problemas abrangiam diferentes partes da aplicação e resultavam de lógica de aplicação personalizada e caminhos legados, em vez de má configuração. Todos eles haviam sido perdidos pelo pentest manual de 120 horas.

“Houve mais descobertas do que em um pentest manual neste caso.”

Isso ocorreu apesar de usar a cobertura mais restrita da Aikido e um curto tempo de realização do teste – pouco mais de duas horas.

Embora nenhum fosse crítico, os problemas representavam fraquezas significativas de autorização que poderiam ter levado à exposição de dados ou ao mau uso de privilégios se não fossem resolvidos. Todos os problemas identificados foram resolvidos.

Desde então, a Cope retestou todos esses problemas mais de uma vez e teve a confirmação de que foram mitigados.

Por que o Pentest Manual Perdeu Vulnerabilidades

Os pentesters externos usaram ferramentas padrão e investiram tempo significativo, mas ainda assim falharam em identificar os problemas.

Da perspectiva da Cope, a limitação não era esforço ou expertise. Era a escala.

“É uma aplicação grande, então mesmo pequenos caminhos na base de código podem ser difíceis de alcançar dentro de um período de tempo limitado.”

Ao contrário dos humanos limitados por tempo e escopo predefinido, os agentes de IA conseguiram continuar explorando caminhos de autorização, seguir a lógica entre serviços e revisitar casos de borda sem fadiga.

“Estes são problemas que um testador humano poderia eventualmente encontrar, mas não dentro de um período de tempo limitado. Os agentes podem continuar explorando caminhos e suposições muito depois que um pentest tradicional teria que parar.”

Quando a Cope compartilhou as descobertas da IA com a empresa que realizou o pentest manual, o resultado foi claro.

“Quando compartilhamos os resultados com a empresa que executou o pentest manual, ficou claro que o pentest de IA havia descoberto problemas reais que simplesmente não haviam surgido durante o engajamento de pentest manual.”

Como a Cope está Expandindo seu Uso de Aikido Security

Já em uso

Planejando expandir a adoção

Avaliando os próximos passos

Veredito final

Para Cope, o pentest de IA não se tratava de substituir testadores humanos. Tratava-se de profundidade, persistência e contexto.

“Os agentes conseguiam entender facilmente o contexto da aplicação porque tinham todas as informações,” ele disse. 

O Aikido Attack forneceu um nível de garantia que se adapta à complexidade da aplicação e vai além dos testes tradicionais pontuais.

“A maior diferença foi a profundidade. O Aikido não testou apenas os endpoints. Ele entendeu como nosso modelo de autorização deveria funcionar e continuou explorando até encontrar falhas reais que um pentest tradicional havia perdido.”

Ir para:
Link de Texto
Compartilhar:

https://www.aikido.dev/customer-story/cope

Site
https://cope.se/
Fundada em
Indústria
FinTech
Sede
Suécia
Tamanho da Equipe de Desenvolvimento
Parceiro

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar Análise
Não é necessário cc
Agendar uma demonstração
Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.