Aikido のライブ解説を見逃した方へ、その概要を簡潔にご説明します。実際のアプリケーションをセットアップし、評価を設定した後、エージェントがライブフローをテストし、アプリを探索し、完全なトレース付きで確認済みの発見事項を可視化する様子をリアルタイムで観察しました。
長文なので要約
ペネトレーションテストは現代のセキュリティにおいて最も遅いプロセスの一つだ。チームは毎日デプロイを行う一方で、攻撃的テストは依然として年に一度しか実施されず、既に陳腐化した静的なPDFとして届けられる。デモはこのギャップを冒頭に提示し、直ちに製品内部Aikido 動作を実演した。
%20(1).gif)
Aikido ペネトレーションテストを設定するのは、レッドチームのブリーフィングAikido 。平易な言葉で範囲を定義し、エージェントが攻撃可能なドメインと到達可能な状態を維持すべきドメインを選択し、人間のテスターに説明するのと同じように認証フローを正確に記述する。MFA、SSOフロー、リダイレクト、多段階シーケンスを含めることも可能だ。エージェントはそれに従う。
リポジトリを接続したり、API仕様書、過去のレポート、ドキュメントなどのコンテキストをアップロードすることも可能です。より多くのコンテキストが評価を向上させ、これはデモとドキュメントの両方で一貫しています。
実行が開始されると、ダッシュボードにはエージェント端末とブラウザセッションが表示された。彼らがルートを探索し、攻撃を試行し、成功した際に適応し、発見をライブ環境で直接検証する様子を観察できた。リクエストログやスクリーンショットに至るまで、あらゆるアクションが可視化された。
発見ページには、完全なトレースと再現手順を伴う確認済みの脆弱性が表示されました。
%20(1).png)
ライブセッションでの一例として、非公開ノートがAPI呼び出しを通じて取得可能となる不正なアクセス制御の問題が挙げられた。
%20(1).png)
もう一つは、AutoFixが自動的に修復できるコマンドインジェクションでした。ワンクリックでプラットフォームがプルリクエストを生成し、修正を確認するための再テストを可能にしました。
AikidoプラットフォームAikido最大の強みです。製品が既にリポジトリ、セキュリティコンテキスト、アプリケーションの動作を理解しているため、エージェントは従来のアプローチにはない背景知識を持ってテストを実行します。このコンテキストにより評価の深さが向上し、AutoFixが意味のある的を絞った修正を生成できるようになります。
%20(1).png)
セッションは、監査対応可能なPDFレポートと、スコープ管理、検証、ビジネスロジックテスト、そして継続的ペネトレーションテストが通常の開発ワークフローにどのように組み込まれるかについての質疑応答をもって終了した。
AIペネトレーションテストに関するよくある質問
AikidoAIペネトレーションテストとは何か?
Aikido 、アプリケーションを探索し、実際のユーザーフローを追跡し、攻撃経路をテストし、悪用可能性を検証する協調エージェントAikido 。これらはブラウザ、ターミナル環境、HTTPクライアントを利用します。コードを接続しコンテキストをアップロードすると、エージェントは静的なペイロードに依存せず、ロジックと意図された動作を通じて推論を行います。
その結果、適応し、探求し、検証するペネトレーションテストが実現する。
続きを読む →https://help.aikido.dev/pentests/aikido-pentest
これは従来のDASTツールとどう違うのですか?
DASTツールは固定パターンに依存しています。認証ステップ、ロール、多段階ワークフローの処理に苦労します。またノイズを生成する傾向があります。
Aikido 人間の攻撃テストに近い振る舞いをする。エージェントは状況を把握し、行動を計画し、攻撃を実行し、結果を観察し、調整する。発見事項はすべて、レポートに反映される前に対象環境で検証されなければならない。
エージェントはどのような問題を発見できるでしょうか?
ペネトレーションテストに求められるすべて:
- SQLインジェクション
- コマンドインジェクション/リモートコード実行
- XSS
- ソビエトしゃかいしゅぎきょうわこくれんぽう
- アクセス制御の破損
- イドール/ボラ
- 認証の欠陥
- 安全でない、または機密性の高いAPIパス
そして重要なのは、アプリケーションがどのように動作すべきかを理解することに依存するビジネスロジックの問題である。
デモでは、エージェントがAPI経由での個人データ漏洩を特定しました。顧客環境では、権限の不一致、ワークフローのバイパス、テナント間データアクセス問題が確認されています。
詳細はこちら →https://help.aikido.dev/pentests/what-issues-can-aikido-pentest-find
本当にIDORやビジネスロジックの脆弱性を検出できるのか?
はい。プラットフォームが役割、データフロー、期待される動作を理解すれば、エージェントはユーザーがアクセスまたは変更すべきでないリソースにアクセスできるかどうかをテストできます。人間のペネトレーションテスターとの複数の比較において、自律実行はより多くの論理的欠陥を検出しました。
詳細はこちら →https://help.aikido.dev/pentests/understanding-and-detecting-idor-vulnerabilities
幻覚や偽陽性をどのように防止しますか?
エージェントは仮説を生成する可能性があるが、プラットフォームはそれらが検証されるまではそれらを信頼しない。
提案された各問題について、Aikido 対象に対して直接再現性テストAikido 。
検証済みの結果のみが報告書に記載される。
ペネトレーションテストを安全かつ範囲内に保つにはどうすればよいですか?
あなたが定義する:
- 攻撃可能なドメイン
- 到達可能だが攻撃不可のドメイン
- 認証手順
- 最大エージェント数
- 許可された試験時間
すべてのネットワークトラフィックは、範囲外のものをすべてブロックするプロキシを経由して流れる。
フライト前のチェックにより、実行開始前に認証と接続が機能していることが確認されます。
フライト前の検査に失敗した場合、クレジットは返金されます。パニックボタンを押せば、数秒以内にテストを停止できます。
スコープの詳細はこちら →https://help.aikido.dev/pentests/scope-of-assessment
SOC 2およびISO 27001の最終報告書は受理されましたか?
はい。生成されたPDFには、方法論、範囲、問題の詳細、再現手順、および修正ガイダンスが含まれています。
お客様は既にこれらのレポートをSOC 2、ISO 27001、およびベンダー評価に活用しています。
サンプルPDFレポートはこちらからダウンロードできます:https://www.aikido.dev/attack/aipentest#report
AIによるペネトレーションテストは、人間のペネトレーションテストと比べてどうですか?
これはデモで説明されました。Webアプリケーションにおいて、自律実行は手動ペネトレーションテストと同等のカバレッジを提供し、複数のケースで人間のチームが見逃した論理的欠陥を発見しました。
当社のホワイトペーパーの調査結果もこれを裏付けています:AIはIDOR(入力データオーバフロー攻撃)、認証バイパス、電子署名の偽造といった深層的な論理的問題を特定しましたが、これらは人間が見落としていたものです。一方、人間は設定やコンプライアンスに重点を置く傾向がありました。
AIは数週間ではなく数時間で完了する。
ほとんどのチームはAIペネトレーションテストを基盤として使用し、必要に応じて人間のレビューを追加します。
コードへのアクセス権を許可する必要がありますか?
必須ではありませんが、リポジトリを接続することで評価の精度が大幅に向上します。コードへのアクセスにより、エージェントはロジックパス、データルール、役割、ワークフローの仮定を理解できます。このコンテキストによりカバレッジが向上し、推測作業が削減されます。
ブラックボックスモードは依然として機能するが、エージェントが外部から構造を推測する必要があるため、当然ながら速度が遅く、完全性も低い。
価格設定はどのように行われますか?
三つの一般的な入り口:
- 機能ペネトレーションテスト:CI/CDと新機能デプロイメント
- 標準ペネトレーションテスト:包括的監査
- 高度なペネトレーションテスト:成熟したアプリケーションのより深い分析
- エンタープライズ(カスタム価格設定):高度な攻撃的テストを必要とする組織向け
より詳細な内訳はこちらでご覧いただけます:https://www.aikido.dev/attack/aipentest
AutoFixはどのような役割を果たしますか?
AutoFixは確認済みの脆弱性を受け取り、具体的なコード変更へと変換します。デモでは、コマンドインジェクションの検出結果が、正確な修正を含むプルリクエストを生成しました。
その価値はループにある:
攻撃が修正箇所を発見 → AutoFixがプルリクエストを提案 → あなたがマージ → 攻撃が修正を再テストする。
Aikido あなたのリポジトリと構造を理解しているため、修正は的を射たものとなり、検証は即時に行われます。
再テストはどのように行われますか?
評価後3ヶ月間は、必要な回数だけ再テストが可能です。各再テストでは新たなエージェントを起動し、脆弱性の悪用を再度試行して修正が維持されていることを確認します。
次はどこへ向かうのか?
デモで議論された二つの方向性:
- 事前チェックの改善と自動クレジット見積もりによる、よりスムーズなオンボーディング。
- 継続的なペネトレーションテスト。デフォルトでステージング環境への攻撃を実行し、デプロイやプルリクエスト時にトリガーし、年次PDFから継続的な検証へ移行。
ペネトレーションテストは、製品をリリースするプロセスの一部となる。
自分の目で確かめてください
今すぐソフトウェアを保護しましょう
.avif)
