Aikido
Comece Gratuitamente
Não é necessário cc
Casos de sucesso

A Sunhat utiliza pentest de IA sob demanda para fornecer prova de segurança crível quando mais importa

Migrado de -

Publicado em:
12 de fevereiro de 2026
Última atualização em:
12 de fevereiro de 2026

Em resumo

  • Executa pentests de IA sob demanda para atender aos prazos de clientes e auditorias
  • Combina pentest de IA com pentests manuais para velocidade e profundidade
  • Utiliza testes de caixa branca para reduzir falsos positivos e melhorar a credibilidade
  • Entrega relatórios de pentest prontos para o cliente sem esperar semanas
  • Integra o Aikido em CI/CD e infraestrutura para cobertura contínua

Desafio

Para a Sunhat, segurança não é um item de verificação interno. É parte da promessa do produto. A Sunhat desenvolve uma Plataforma Colaborativa de Prova, alimentada por IA, que ajuda equipes de sustentabilidade e conformidade empresarial a comprovar confiança e conformidade para seus próprios clientes, parceiros e reguladores.

Isso faz com que a postura de segurança da Sunhat esteja diretamente ligada à receita, reputação e velocidade de negócios. A Sunhat vende para grandes empresas, muitas vezes multinacionais, com altas expectativas de segurança.

Clientes regularmente solicitam evidências de pentest antes de prosseguir.

“Sim, os clientes nos pedem diretamente evidências de pentest. E, honestamente, eu faria o mesmo na posição deles.”

Ali, Cofundador e CTO da Sunhat

O pentest manual já fazia parte do programa de segurança da Sunhat. Mas vinha com um problema conhecido: o tempo.

Pentests levam semanas para serem agendados e executados. Relatórios envelhecem rapidamente. E durante ciclos de vendas ou auditorias, a pressão do tempo pode transformar a validação de segurança em um gargalo.

“Algumas empresas não ficam satisfeitas com um relatório de alguns meses,” explicou Ali.

A Sunhat queria uma forma de fornecer provas de segurança atualizadas e críveis sob demanda, sem comprometer a qualidade.

Por que a Sunhat recorreu ao pentest de IA

A Sunhat já utilizava o Aikido como parte de seu ciclo de vida de desenvolvimento seguro quando o pentest de IA se tornou disponível.

“Quando descobrimos que o Aikido agora oferece pentest baseado em IA, fiquei bastante curioso para experimentar,” disse Ali. “Eu estava especialmente interessado em compará-lo com o pentest manual, que havíamos feito anteriormente.”

O objetivo não era substituir os pentests manuais.

“Tanto o pentest de IA quanto o pentest manual têm seu lugar, razão pela qual fazemos ambos,” disse Ali.

Em vez disso, a Sunhat viu o pentest de IA como uma forma de adicionar velocidade, flexibilidade e realismo ao seu processo de validação de segurança.

“Para mim, é assim que o pentest e os testes de segurança deveriam funcionar na era atual,” ele acrescentou.

Executando o pentest de IA

Foi fácil começar com o pentest de IA.

“Foi simples começar a usar o Aikido Attack por conta própria. Engenheiros adoram quando não precisam passar por burocracias desnecessárias.”

A Sunhat executa pentests de IA white-box para maximizar a validade e a relevância. Os agentes de IA têm acesso ao contexto do código-fonte, permitindo que se concentrem em comportamentos de ataque realistas, em vez de varreduras superficiais.

“Fazemos pentests white-box, pois eles proporcionam maior validade. Ver os logs e como os agentes de IA se comportam nos dá mais confiança de que eles tentam cobrir o máximo possível.”

Mais importante ainda, os pentests de IA podem ser acionados quando necessário.

“Acionar um pentest de IA agora é uma questão de minutos, tornando-os extremamente úteis em situações sensíveis ao tempo.”

O que o pentest de IA entregou

A Sunhat não executa pentests apenas para cumprir uma formalidade.

“Fazemos pentesting não para nos enganar, mas para encontrar vulnerabilidades antes que atores maliciosos o façam”, disse Ali.

Em um pentest de IA, a Aikido identificou uma vulnerabilidade no processo de geração de exportação de PDF da Sunhat.

Sunhat uses a browser-as-a-service provider to launch headless Chromium instances for PDF generation. While the team had sanitized content such as the <head> element and tightly controlled allowed HTML elements, the implementation still permitted certain active elements like <iframe> and <img>.

A Aikido determinou que esses elementos poderiam acionar requisições HTTP de saída durante a geração de PDF, potencialmente habilitando a falsificação de requisição do lado do servidor (SSRF) e a inclusão de resposta no documento gerado.

Esta não era uma configuração incorreta superficial. Estava enraizada na forma como o fluxo de geração de PDF interagia com o comportamento do navegador.

Para mitigar o problema, a Sunhat:

  • Desabilitou a execução de JavaScript no Puppeteer durante a geração de PDF
  • Bloqueou requisições de rede externas usando interceptação de requisições

Após o deploy da correção, a Sunhat acionou um reteste.

“Ter os agentes de IA confirmando as melhorias após o deploy das correções do nosso lado é muito gratificante.”

A Aikido reconheceu a mitigação como eficaz durante o reteste, confirmando que o vetor SSRF havia sido fechado.

“Até agora, não encontramos falsos positivos,” acrescentou Ali. “Parece que os agentes de IA utilizam bem o contexto fornecido pelo nosso código-fonte.”

Além do pentesting: Aikido como plataforma de segurança

Embora o pentest de IA seja uma capacidade crítica, a Sunhat utiliza a Aikido como uma plataforma de segurança mais abrangente.

A Aikido executa continuamente em pull requests e varreduras de infraestrutura agendadas, alinhando-se com a cultura de engenharia da Sunhat, que prioriza a automação.

“Na Sunhat, somos grandes defensores da automação, e sentimos que a Aikido se encaixa perfeitamente,” disse Ali.

A orientação de remediação é prática e sensível ao contexto, especialmente em cenários white-box.

“Como fazemos pentests de caixa branca, as etapas de remediação parecem precisas. Ninguém gosta de conselhos genéricos que não se aplicam a você.”

Essa combinação de cobertura contínua e pentest sob demanda permite que a Sunhat se mantenha à frente tanto dos riscos de segurança quanto das expectativas dos clientes.

Resultados

Para a Sunhat, o impacto do pentest de IA é melhor medido em velocidade, confiança e credibilidade. O pentest de IA permite que a Sunhat:

  • Responder rapidamente às solicitações de segurança de clientes e auditorias
  • Fornecer relatórios de pentest novos e prontos para o cliente sem longos prazos de entrega
  • Validar correções rapidamente por meio de retestes automatizados
  • Tratar a segurança como uma capacidade contínua em vez de um exercício pontual

“Assim como nossos clientes precisam fornecer prova verificável aos seus stakeholders, queremos fornecer prova atualizada sobre nossa postura de segurança para provar que somos um parceiro de negócios confiável”, disse Ali.

Ir para:
Link de Texto
Compartilhar:

https://www.aikido.dev/customer-story/sunhat

Site
https://www.getsunhat.com/
Fundada em
2022
Indústria
Desenvolvimento de Software
Sede
Colônia, Alemanha
Tamanho da Equipe de Desenvolvimento
Parceiro

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar Análise
Não é necessário cc
Agendar uma demonstração
Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.