静的スキャナーは、不正なパラメータ、リスクAPI 、チェックの欠落といったパターンを検出します。一方、AIコード監査は、コードベース全体の意図を分析することで、攻撃者の視点が必要となる問題（IDOR、アクセス制御の不備、多段階エクスプロイト 、ビジネスロジックの欠陥など）を特定します。SAST 取って代わるSAST それを補完するものです。

ソースコードを直接読み取り、解析を行います。クロール段階も、トラフィックの再生も、実環境での攻撃も一切行わないため、対象となる環境を指定する必要はありません。デプロイ済みのターゲットに対する実環境でのテストを行う場合は、 Aikido ペンテスト 。

あらゆる言語に対応しており、制限は一切ありません。Code AuditはWebアプリに限定されません。エージェントは、接続されたリポジトリに含まれるあらゆるソース（モバイルアプリ、スマートコントラクト、デスクトップアプリなど）を横断して分析を行い、主要なプログラミング言語、設定ファイル、IaC（Infrastructure as Code）に対応しています。複数のサービスを含むモノリポジトリも完全にサポートされています。

コード監査では、エージェントの注目を一貫性のあるコードベースのセットに集中させます。リポジトリ数が一定数を超えると、分析の焦点がぼやけ、品質が低下する傾向があります。1回の監査でそれ以上の数が必要である場合は、サポートまでご連絡ください。

1. どちらの製品も同様のエージェント型エンジンで動作しますが、扱う対象は異なります。Code Auditはソースコードを分析します。 Aikido は、実行中のアプリケーションに対してペンテスト 。
2. 次のような場合に「AIコード監査」をご利用ください：
   • 本番環境を設定することなく、IDOR（入力データ操作脆弱性）、不適切なアクセス制御、多段階の攻撃チェーンといった、ロジックやアーキテクチャ上の欠陥について、コードを深く分析したいと考えています。
   • 安定したステージング環境やQA環境がない、あるいは本番環境でのテストに向けた認証フローの準備が整っていない。
   • セットアップの手間を最小限に抑え、迅速に作業を開始したい場合：リポジトリを接続し、クレジットを確認して、開始するだけです。
   • 本番環境へのデプロイ前に、ソースコードの変更内容を検証したい。
   • モバイルアプリ、デスクトップアプリ、スマートコントラクトなど、実環境でテストするのが難しいコードベースをお持ちの場合
3. 使用 Aikido ペンテスト ：
   • 実稼働中のターゲットがあり、実際のトラフィックを用いて実際に悪用可能かどうかを検証したい。
   • 実行時の証拠、つまり再現リクエスト、攻撃対象領域のマッピング、およびエージェントのリアルタイムな活動状況が必要でしょう。
   • 対象範囲には、ソースに表示されているもの以外にも、ドメイン、認証済みユーザーのロール、およびクロールによって検出されたエンドポイントが含まれます。
   • SOC 2、ISO 27001、または同様のコンプライアンス基準に準拠するには、実環境での侵入テストが必要です。

Code Auditは、ソースコードを直接読み取り、分析を行います。クロール段階も、トラフィックの再生も、実環境での攻撃実行も一切行わないため、対象となる環境を指定する必要はありません。デプロイ済みのターゲットに対して実環境でのテストを行いたい場合は、 Aikido ペンテスト 。

「コード監査」は、サイドバーメニューの「攻撃」セクションにあります。

入金済み Aikido クレジットで支払われました。作成フローの「価格設定」ステップでは、確定する前に正確なクレジット総額が表示されます。費用はリポジトリのサイズと複雑さによって異なります。