Allseek et Haicker rejoignent Aikido. Ensemble, nous construisons Aikido Attack : des pentests IA autonomes qui pensent comme des hackers et s'exécutent en quelques heures, et non en semaines.
Pourquoi est-ce important ?
La sécurité doit s'adapter à la vitesse des logiciels modernes. Les pentests actuels sont précieux mais limités par le temps, le coût et leur nature ponctuelle. L'avenir n'est pas fait de PDF annuels, mais de systèmes autonomes et continus fonctionnant avec l'intuition des hackers.
C'est ce que ces équipes ont construit.
- Allseek, l'équipe qui a réalisé le tout premier pentest d'Aikido, crée des agents IA qui agissent comme de véritables attaquants, en traçant les chemins qu'emprunteraient les hackers.
- Haicker, fondée par le champion du monde de hacking Philippe Dourassov et l'ingénieur Manaf Mhamdi Alaoui, transforme le hacking humain d'élite en systèmes autonomes.
Un nouveau modèle :
- Des pentests en quelques minutes, pas en semaines
- Feedback continu avec validation instantanée des correctifs
- Contexte white-box, grey-box et black-box en un seul flux
- Agents autonomes fonctionnant à l'échelle
C'est l'avenir : des agents autonomes et continus où l'humain stimule la créativité. Plus rapide, plus large, accessible à chaque équipe, pas seulement au Fortune 5000.
Comme l'a dit Philippe :
« En unissant nos forces, nous nous rapprochons un peu plus de la possibilité de rendre l'« inhackable » réalisable. »
Fonctionnement
Le pentest autonome n'est pas seulement un scan plus rapide, c'est une chaîne d'agents IA spécialisés qui imitent le mode opératoire des hackers : explorant, sondant et validant étape par étape.
- Les agents de reconnaissance collectent des informations sur les systèmes, les réseaux et les organisations.
- Les agents de cartographie dressent la carte des surfaces d'attaque : routes, paramètres, piles technologiques, versions.
- Les Hunters de CVE associent les vulnérabilités connues aux versions découvertes.
- Les agents d'exploitation exploitent ces découvertes.
- Des agents de vulnérabilité web qui se spécialisent chacun dans des types de vulnérabilités spécifiques – par exemple, un agent est optimisé pour détecter le cross-site scripting, tandis qu'un autre est conçu pour les injections SQL.
- Des agents de sondage logique qui identifient la logique métier derrière l'application et tentent ensuite de l'exploiter.
C'est un relais : un agent découvre, le suivant creuse plus profondément. Ils adaptent les charges utiles, apprennent des résultats et valident le contexte, comme un hacker enchaîne les attaques.
L'avantage d'Aikido réside dans le contexte et la couverture, Aikido Attack offre un cocktail détonant :
- Les agents en boîte blanche lisent votre code
- Les agents en boîte grise interprètent le comportement des fonctionnalités
- Les agents en boîte noire testent la surface en production
- Ajoutez l'enrichissement de la plateforme plus large d'Aikido, pensez : SAST, scan d'API, CSPM et cartographie de la surface d'attaque. Ensemble, les agents gagnent à la fois en profondeur et en étendue, dépassant la simple correspondance de motifs pour atteindre un véritable raisonnement autonome.
Le résultat : des tests d'intrusion qui ne se contentent pas de trouver des motifs, mais pensent comme des hackers.
Ce qui change aujourd'hui
Avec Aikido Attack, les équipes peuvent :
- Lancer un test d'intrusion en quelques minutes (au lieu de semaines)
- Retester continuellement les problèmes à mesure que les correctifs sont déployés
- Obtenir des résultats exploitables en quelques heures, et non des PDF tous les 6 mois
- Accéder à une véritable sécurité offensive continue pour une fraction du coût
Ce que cela signifie pour les équipes
- Développeurs : feedback instantané, moins de goulots d'étranglement, correctifs plus rapides
- Responsables sécurité : assurance continue au lieu d'instantanés
- Testeurs d'intrusion : plus d'espace pour la créativité, en se concentrant sur les vulnérabilités que l'IA ne peut pas détecter
L'industrie des tests d'intrusion, évaluée à 6 milliards de dollars, n'a pas suivi le rythme. Les rapports prennent des semaines, coûtent des milliers de dollars et sont obsolètes avant même que les correctifs ne soient déployés. Deux tiers des violations exploitent des vulnérabilités non corrigées depuis plus de 90 jours.
Le constat : les tests d'intrusion sont essentiels, mais une réinvention s'impose. La créativité humaine est irremplaçable, pourtant 90 % (cartographie, sondage, re-test) peuvent et devraient être automatisés. Les systèmes autonomes fonctionnent en continu, à la demande, pour une fraction du coût, libérant les humains pour les problèmes les plus complexes… et faisant de la sécurité continue une réalité accessible.
Perspectives
Ce n'est que le début d'Aikido Attack. Les tests d'intrusion (pentests) devraient être à la demande, continus et adaptés aux développeurs. Appelez ça « sans fioritures » si vous voulez ;) L'accès anticipé ouvrira bientôt et nous sommes impatients de voir comment les équipes l'utiliseront.
Nous sommes ravis d'accueillir Wout Debaenst, Miel Verkerken, Arne Feys, Philippe Dourassov et Manaf Mhamdi Alaoui au sein de l'équipe Aikido.
Obtenez l'accès anticipé → aikido.dev/attack/aipentest
