Em resumo
- Pentests manuais anuais aumentados com testes white-box impulsionados por IA
- Identificou uma vulnerabilidade complexa e de caso de borda através de exploração sensível ao contexto
- Integrou o pentest de IA no gerenciamento contínuo de vulnerabilidades
- Reduziu os relatórios de segurança manuais de dias por mês para horas
- Aplicou a segurança diretamente nos fluxos de trabalho de pull request
Desafio
A TechWolf constrói uma camada de dados impulsionada por IA que ajuda empresas a entenderem cargos, tarefas e habilidades enquanto navegam pela transformação da força de trabalho. Operar em tecnologia de RH significa trabalhar com informações comerciais e pessoais sensíveis. Segurança não é um recurso. É um pré-requisito.
A TechWolf há muito tempo investe em sua postura de segurança. A empresa mantém a certificação ISO 27001, completa auditorias SOC 2 anuais, realiza testes de penetração externos anuais e utiliza ferramentas SAST, SCA e DAST em toda a sua stack.
Mas a maturidade da segurança não é estática.
“Um dos nossos valores é ‘Mirar na lua’. Para mim, isso inclui elevar o nível de segurança ano após ano,” disse Kilian, Engenheiro de Operações de Segurança na TechWolf.
Com o tempo, os pentests manuais começaram a gerar menos descobertas óbvias. Isso era um bom sinal. Ainda assim, a equipe sabia que, em uma base de código crescente e em evolução, casos de borda sutis podem permanecer difíceis de serem identificados dentro de um engajamento de tempo fixo.
A TechWolf queria ir um passo além.
“Embora realizemos um teste de penetração manual anual com um fornecedor externo, encontramos menos problemas importantes e acreditávamos que havia mais riscos escondidos mais profundamente na base de código.”
Adicionando pentest de IA para estender o programa de segurança
A TechWolf decidiu testar o pentest de IA do Aikido como uma extensão do seu programa existente. A configuração foi simples porque o ambiente deles já estava conectado dentro do Aikido.
“Gastei menos de 15 minutos na configuração. Em poucas horas, os agentes já haviam identificado algo interessante.”
Ao contrário de um engajamento tradicional limitado por tempo e escopo, os agentes de IA foram capazes de analisar o contexto do código-fonte diretamente, explorar casos de borda e gerar caminhos de ataque reproduzíveis.
“Acredito que a eficácia reside nos pentests de LLM do Aikido, que utilizam muito mais contexto do que um pentester manual jamais conseguiria, especificamente ao analisar o código-fonte.”
Para a TechWolf, não se tratava de substituir os testes manuais. Era sobre complementá-los.
“Ambas as abordagens têm seu lugar. O pentest de IA adiciona persistência e profundidade, especialmente em áreas mais difíceis de alcançar em um engajamento com tempo limitado.”
O que o pentest de IA revelou
Durante o teste, o pentest de IA do Aikido identificou uma vulnerabilidade complexa enraizada na lógica da aplicação.
Não era uma má configuração superficial ou uma simples verificação ausente. Exigiu entender como componentes específicos interagiam em diferentes partes da base de código.
“Ficamos impressionados com a profundidade”, disse Kilian. “Não se tratava de encontrar algo básico. Era sobre explorar partes da aplicação que são naturalmente mais difíceis de alcançar.”
Os agentes de IA geraram uma análise de ataque detalhada, juntamente com um script de prova de conceito, permitindo que a equipe verificasse e reproduzisse o problema rapidamente.
“Os scripts de PoC foram cruciais”, disse Kilian. “Eles eliminam dúvidas, reduzem falsos positivos e facilitam para os engenheiros entenderem exatamente o que precisa ser corrigido.”
Para a TechWolf, isso validou a decisão de expandir sua estratégia de testes. Pentests manuais continuam sendo um pilar importante do programa deles. O pentest de IA adiciona uma camada de exploração sensível ao contexto que fortalece a cobertura geral.
Além do pentest: consolidando a segurança em uma única plataforma
Embora o pentest de IA tenha proporcionado valor imediato, o impacto mais amplo veio do uso do Aikido como uma plataforma central de gerenciamento de vulnerabilidades.
“Já utilizamos ferramentas de segurança padrão como SAST, SCA, DAST e testes de penetração tradicionais”, disse Kilian. “No entanto, estas são frequentemente isoladas, dificultando a priorização a partir de diversas descobertas isoladas”.
O Aikido consolida descobertas de diversas ferramentas, incluindo resultados de pentest, e os prioriza automaticamente através de sua funcionalidade AutoTriage.
“O principal valor do Aikido é garantir que focamos nossos esforços nas questões mais críticas primeiro através de sua funcionalidade AutoTriage, enquanto mantemos o controle de todas as outras descobertas.”
A segurança agora é aplicada diretamente no fluxo de trabalho de desenvolvimento. Pull requests não podem ser mescladas enquanto vulnerabilidades não resolvidas permanecerem, impedindo que os problemas cheguem à produção em primeiro lugar.
Resultados
Com o tempo, as melhorias operacionais ficaram claras.
Antes do Aikido, Kilian gastava um tempo significativo consolidando descobertas de diferentes ferramentas, preparando documentação de auditoria e priorizando vulnerabilidades manualmente.
Agora, as vulnerabilidades são priorizadas automaticamente e atribuídas às equipes relevantes.
“A melhoria mensurável mais significativa é a redução no tempo de operações de segurança manual”, disse Kilian.
Melhorias mensuráveis
.png)
Veredito final
Para a TechWolf, adotar pentest de IA não se tratava de substituir controles ou parceiros existentes. Era sobre continuar a elevar o nível.
“Para nós, trata-se de elevar o nível continuamente,” disse Kilian.
“O Aikido nos ajuda a nos manter proativos, priorizar os problemas certos e gastar menos tempo com overhead operacional.”
Ao combinar pentests manuais anuais com testes de IA sensíveis ao contexto e gerenciamento de vulnerabilidades centralizado, a TechWolf fortaleceu um programa de segurança já maduro; adicionando profundidade, visibilidade e eficiência sem interromper os processos existentes.
