あなたはすでにこの問題を理解している。なぜなら、それを生きているからだ。
成長中の企業であれば、ペンテスト …コンプライアンス要件があれば2回かもしれない。テストをスケジュールし、変更を凍結し、数週間待ち、PDFを受け取る。レポートが届く頃には、アプリケーションは既に変更されている。
大規模組織で社内にセキュリティチームを擁している場合、状況は異なりますが制約は同じです。チームはテストを実施しています。彼らはその分野に長けています。しかし、あらゆる領域のあらゆる変更を、必要な深さで検証することは不可能なため、毎日何をカバーし何を省略するかという難しい選択を迫られています。彼らは発見事項だけでなく、そもそも何を見るべきかについても優先順位をつけているのです。
どちらの側でも、テストは出荷に追いつくことがありません。今日、それが変わります。
デプロイのたびに広がるギャップ
過去1年間のコミット履歴を想像してみてください。次に、外部委託による2件のペネトレーションテストであれ、社内チームの継続的な取り組みであれ、自社のペネトレーションテストを想像してみてください。
エンジニアリング組織は1日に数千行のコードをプッシュするかもしれません。セキュリティチームは、どれほど熟練しリソースが豊富であっても、ペンテスト で手動レビューできるのはそのごく一部です。
テストされなかった変更はすべて、完全に検証されなかったアプリケーションのバージョンです。テストの脆弱性 場合、そのパスが次にレビューされるまで本番環境に存在し続けます。攻撃対象領域はデプロイのたびに拡大します。セキュリティ対応能力はそれに比例して拡大しません。
これは構造的な問題です。スキャン速度の向上やアラートの改善、人員増強では解決できません。モデルそのものを変える必要があります。調査対象の500名のセキュリティおよびエンジニアリングリーダーのうち、76%が毎週またはそれ以上の頻度で大規模な本番環境変更を展開しています。リリースごとにセキュリティ検証を実施しているのはわずか21%です。さらに85%が、分析結果が届く頃にはセキュリティ上の発見事項が既に陳腐化していると回答しています。
船舶と安全の間のその隙間は理論上のものではない。攻撃者が侵入する窓なのだ。そして攻撃は加速している:今週、研究者らが明らかにしたところでは、一人のハッカーがClaudeを用いて複数のメキシコ政府機関を侵害し、納税者と有権者の記録150GBを流出させた。たった一人の人間、一つのAIツール、数千の自動化されたコマンド。攻撃者は今や超能力的な玩具を手にした。防御側も自らの武器を持つ時だ。
入力 Aikido 無限
先月、シリーズBの資金調達を発表した際、私たちは約束しました:合気道の次の章は Aikido は自己保護型ソフトウェアの時代となる、と約束しました。構築からリリースまで自らを守るソフトウェアです。本日、その約束を果たします。
それは何か
Aikido 修復機能をペネトレーションテスト 継続的ペネトレーションテスト です。アプリケーションが変更されるたびに、自律エージェントペンテスト 、実際に悪用可能な箇所を検証し、パッチを生成し、修正を再テストします。これらはすべてコードが本番環境に反映される前に実行されます:ペンテスト 。自動的にパッチ適用。
いや、LLMリップスティックDAST じゃない
長年にわたり、DAST 業界が継続的セキュリティテストに最も近いDAST 、誰も「DAST 素晴らしい」と言ったことはありません(申し訳ないが、そう思わない)。深みが足りない。ノイズ 不十分だ。修正策が伴わない。Infiniteは異なるアプローチを取る:自律型攻撃エージェントがアプリケーションの挙動を推論し、多段階攻撃経路を連鎖させ、広範なツールスイートを活用し、実際の攻撃を通じて悪用可能性を検証する。 ある事例では、エージェントが文書署名アプリケーションにおける署名偽造の可能性を発見:認証プロセスの変更を検知→メンバーとしてログイン→権限昇格→認証機能の欠陥を確認。これは 昔ながらの「動的スキャン」とは一線を画す。
仕組み
新しいコードが投入されると、 Aikido Infiniteは差分解析を行い、攻撃対象領域に影響する変更点を特定します。READMEやボタンの色を更新?無視。認証ロジックやAPI 変更?エージェントが影響範囲を特定し、対応を開始します。
1. 発見:Infiniteはコンテキストを Aikidoのコードからランタイムへのプラットフォーム(ソースコード、アプリケーションアーキテクチャ、API 、クラウド設定)からコンテキストを取り込み、未文書化されたエンドポイント、隠れたロジックパス、手動レビューには時間がかかりすぎるアーキテクチャ上の異常を含む、攻撃対象領域全体をマッピングします。エージェントはシステム全体を推論し、コンポーネントの相互作用や前提条件が破綻する箇所を理解します。
2. 変更されたエクスプロイト 経路エクスプロイト :これがInfiniteがスキャナー検査と異なる点です。スキャナー検査はコンポーネントを単独で、1つのリポジトリ、1つのファイル、1つの理論上のリスクずつ確認します。現実には、セキュリティは継ぎ目で破綻します。たった1行の変更が、アプリケーション内の保護対象ルート全てに影響を及ぼす可能性があります。 個々では安全な2つの変更が組み合わさると危険になり得る:ここに新しいAPI が追加され、あちらで権限チェックが緩和されれば、突然、単独では引き起こされなかったクロステナントのデータ漏洩が発生する可能性がある。
ペネトレーションテストが存在するのは、こうした問題を発見するためです。なぜなら、これらはコンポーネントが全体として相互作用する実際の稼働環境でしか表面化しないからです。問題は常に、その深さであらゆる組み合わせをテストすることが困難でコストがかかる点にありました。 Infiniteはこれを標準機能とします。特化エージェントが影響を受ける全領域で実行可能な攻撃経路を網羅的に追跡します:インジェクション脆弱性、アクセス制御の不備、認証の弱点、SSRF、ビジネスロジックの誤り、テナント間データ漏洩など、固定ペイロードではなく実際の攻撃経路を用いて検証します。エージェントが何かを発見すると、その知見がフィードバックされ、連鎖するリスクを暴きます。エージェントはセキュリティ関連機能全体を並列かつ同時に処理します。
3. 検証:すべての発見は、実際の標的に対する直接的な攻撃によって確認される。再現できない問題は結果に含まれない。
4. 自動修正と再テスト:AutoFixは特定の実装を対象とした、コードレベルの修正を適用したマージ準備完了のプルリクエストを生成します。開発者がレビューしマージすると、エージェントが自動的に再テストを実行し修正が維持されていることを確認します。数時間以内に脆弱性 発見から解決、検証済みへと脆弱性 。
無限は内側に宿るから Aikido プラットフォーム内に存在するため、スタンドアロンのペネトレーションテストツールにはない文脈を保持しています。このインフラからコードへの文脈こそが、発見をより深く、修正をより正確にし、継続的テストを実際に実現可能なものにするのです。
かつて数週間や四半期かかっていた作業が、今では数時間で完了します。エージェントが雑用を処理し、チームはレビューとマージを行い、次の段階へ進みます。
_1-2.png)
リリース →ペンテスト パッチ → 再テスト → 本番環境へのプッシュ
実世界のコードで実証済み
これらのエージェントは既に、広く利用されているアプリケーションやフレームワークにおいて複雑な脆弱性を発見している。これらは、長年にわたるコミュニティによるレビューや専門家の精査を経ても検出されなかった問題である。
Coolifyでは、52,000以上の公開インスタンスにおいて、特権昇格やルート権限でのRCEによるホスト完全乗っ取りを含む7つのCVEをエージェントが特定しました。Astroでは、内部ネットワークリソースを晒すNode.jsアダプターのSSRFであるCVE-2026-25545を発見しました。Vercel上のSvelteKitでは、15万行のコードにまたがるキャッシュ欺瞞脆弱性「SvelteSpill」を追跡。デフォルトデプロイメント全てに影響を与えるこの問題に対し、Vercelは開示後にプラットフォーム全体の修正を適用しました。
文書署名アプリケーションの直接比較において、エージェントは電子署名の偽造を可能にする重大なワークフロー完全性の欠陥と、12件のXSS事例を発見した。手動ペネトレーションテストを実施した上級チームは2週間かけて1件のXSSと1件のSSRFを発見したが、9件の発見事項のうち7件は強化チェックであり、署名の偽造については完全に見逃していた。(詳細なホワイトペーパーはこちら)
いずれの場合も、これらは成熟したコードベースにおける深層的で多段階の問題である。これらを見逃した専門家たちは新人ではない。彼らは、限られた時間、競合する優先事項、高いプレッシャー、そしてどのチームも深く検証しきれないほどの膨大なコード量という、あらゆるセキュリティチームが直面する制約のもとで働く上級プロフェッショナルたちである。
AIにおいては、その制約は消滅する。エージェントにソースコードへのアクセス権を与えるのは瞬時であり、彼らが取り込む文脈の豊かさに比例してスケールする。より多くのコード、より多くのアーキテクチャ文脈、より良い結果——コスト増ではない。専門家テスターがコンプライアンスと構成に注力したのは、そこに時間を費やしていたからだ。エージェントはより深く掘り下げた——それが可能だったからである。
大企業でさえ、アプリケーションにプッシュされる全てのコード変更を網羅的にテストするだけの専門家を擁していません。今や、あらゆる変更に対して常時稼働する深い分析を、あらゆるチームに提供できます。これは、あなたのアプリケーションに100%専念し、24時間体制で待機する精鋭ハッカーチームのようだと考えてください。
%20copy-2%20(1)%20copy-2.gif)
Infiniteがチームにもたらすもの
攻撃者は超能力おもちゃを持っている。これによって防御者も自分たちの超能力おもちゃを手に入れる。
セキュリティ専門家向け:Infiniteは チームのテスト能力を飛躍的に拡大します。エージェントが各リリースにおける網羅的な検証を自動処理し、カバレッジを拡張するため、専門家は最重要課題や判断を要する領域に集中できます。 従来ならチームの帯域幅を消費するか、あるいは全く実施されなかったであろう、あらゆる変更点に対する広範かつ迅速な深層テストを実現。セキュリティ専門家は創造性、ビジネス文脈、そして最も困難な課題に取り組む余力を得られます。Infiniteによりセキュリティチームは、リソース制約下の「重要箇所のみチェック」モードから、デフォルトで「全てをチェック」するモードへ移行可能となります。
開発者向け:あなたのチームは1年前と比べて10倍のコードを出荷しています。Infiniteなら差分内容に確信が持てます。再現手順が不明瞭なセキュリティチケットが開発途中に出現することもありません。Infiniteが問題を発見し、修正案を生成し、プルリクエストを開きます。あなたはそれをレビューし、マージし、開発に戻れます。
次に何をする?
Infiniteは当社の主力製品であり、私たちが目指してきたビジョン「自己保護型ソフトウェア」の実現です。✨
本日、Infiniteは出荷とセキュリティの間のループを閉じます。あらゆる実行が Aikidoのセキュリティナレッジベースを、実際の発見、検証済みの攻撃経路、確認済みの修正で強化します。そのナレッジベースが次にどこへ向かい、どのようにコードの記述(または生成)方法にフィードバックされるか——おそらく、私たちが「Infinite」という名前を選んだ理由がおわかりいただけるでしょう。Latio Techの創設者、ジェームズ・バーソティが示唆するように:
混雑した市場において、 Aikido Infiniteは、AI生成コードのセキュリティ確保に向けた真に独自のアプローチです。継続的なAIペネトレーションテストを活用し、テストの質を前回より向上させるとともに、デフォルトでより安全なコード生成を実現します。
次に私が連絡する時は、ありきたりながらも洗練された「ソフトウェアライフサイクルを通じたセキュリティを無限大の記号として」というグラフィックと共に。構築すべきものはまだ山ほどあります。ソフトウェアが求める速度で、開発者が求める水準でセキュリティが機能するまで、私たちは前進を続けます。
Infiniteを今すぐ試してみませんか? 無料で開始、 デモを予約、あるいは来月サンフランシスコで開催されるRSAカンファレンスで無限の世界へ飛び込んでください。
マデリンへ、 Aikido
そして、そう、ローンチ動画はマトリックスのパロディです:
