Vous connaissez déjà ce problème, car vous le vivez.
Si vous êtes une entreprise en pleine croissance, vous effectuez un test d'intrusion une fois par an... voire deux fois si la conformité l'exige. Vous planifiez la mission, geler les changements, attendez plusieurs semaines, puis recevez un PDF. Au moment où le rapport arrive, votre application a déjà changé.
Si vous êtes une grande entreprise disposant d'une équipe de sécurité interne, la situation est différente, mais la contrainte reste la même. Votre équipe effectue des tests. Elle est compétente dans ce domaine. Mais elle doit chaque jour faire des choix difficiles quant aux éléments à couvrir et à ceux à ignorer, car elle ne peut pas examiner chaque modification dans tous les domaines avec toute l'attention qu'elle mérite. Elle trie non seulement les résultats, mais aussi les éléments à examiner.
Des deux côtés, les tests ne suivent jamais le rythme des expéditions. Aujourd'hui, cela change.
L'écart qui se creuse à chaque déploiement
Imaginez l'historique de vos engagements au cours de l'année écoulée. Imaginez maintenant vos tests d'intrusion, qu'il s'agisse de deux missions externes ou des efforts continus de votre équipe interne.
Votre organisation d'ingénierie peut produire des milliers de lignes par jour. Votre équipe de sécurité, aussi compétente et bien équipée soit-elle, ne peut en examiner manuellement qu'une fraction avec la même rigueur qu'un test d'intrusion.
Chaque modification qui n'a pas été testée correspond à une version de votre application qui n'a jamais été entièrement validée. Si une vulnérabilité a été introduite entre deux tests, elle reste en production jusqu'à ce que quelqu'un examine à nouveau ce chemin. La surface d'attaque s'étend à chaque déploiement. La capacité de sécurité ne s'adapte pas à cette évolution.
Il s'agit d'un problème structurel. Vous ne pouvez pas le résoudre avec des analyses plus rapides, de meilleures alertes ou davantage de personnel. Nous devons changer le modèle. Sur les 500 responsables de la sécurité et de l'ingénierie que nous avons interrogés, 76 % déploient des changements importants dans la production chaque semaine, voire plus souvent. Seuls 21 % valident la sécurité à chaque nouvelle version. Et 85 % ont déclaré que leurs conclusions en matière de sécurité étaient déjà obsolètes au moment où l'analyse arrivait.
Cet écart entre la sécurité et la vulnérabilité n'est pas théorique. C'est la brèche par laquelle passent les pirates. Et ils sont de plus en plus rapides : cette semaine, des chercheurs ont révélé qu'un seul pirate informatique avait utilisé Claude pour pirater plusieurs agences gouvernementales mexicaines, exfiltrant 150 Go de données sur les contribuables et les électeurs. Une seule personne, un seul outil d'IA, des milliers de commandes automatisées. Les pirates disposent désormais de super-outils. Il est temps que les défenseurs aient les leurs.
Entrez dans Aikido
Le mois dernier, lorsque nous avons annoncé notre série B, nous avons fait une promesse : le prochain chapitre Aikido sur les logiciels auto-sécurisés. Des logiciels qui se protègent eux-mêmes dès leur conception et leur mise sur le marché. Aujourd'hui, nous tenons cette promesse.
Qu'est-ce que c'est ?
Aikido est un test de pénétration autonome continu avec correction intégrée. À chaque modification de votre application, des agents autonomes testent le déploiement, valident ce qui est réellement exploitable, génèrent des correctifs et testent à nouveau les corrections, le tout avant que le code n'entre en production : Testez chaque version. Appliquez automatiquement les correctifs.
Non, ce n'est pas DAST le rouge à lèvres LLM.
Pendant des années, DAST ce qui se rapprochait le plus tests de sécurité continus dans le secteur, et personne n'a jamais dit « ce DAST génial » (désolé, mais pas vraiment). Il manque de profondeur. Le rapport signal/bruit n'est pas au rendez-vous. La correction n'est pas là. Infinite fonctionne différemment : des agents offensifs autonomes qui analysent le comportement des applications, enchaînent des chemins d'attaque en plusieurs étapes, exploitent une suite d'outils complète et valident l'exploitabilité par le biais d'une exploitation réelle. Dans un cas, les agents ont découvert qu'il était possible de falsifier des signatures dans une application de signature de documents : découverte de modifications dans l'authentification -> connexion en tant que membre -> escalade des privilèges -> confirmation de l'autorisation compromise. Ce n'est pas l'«analyse dynamique » de vos grands-parents.
Fonctionnement
Lorsque du nouveau code est ajouté, Aikido analyse les différences et identifie les changements qui ont un impact sur votre surface d'attaque. Mise à jour d'un fichier README et de la couleur d'un bouton ? Ignoré. Modification de la logique d'authentification ou des points de terminaison API ? Les agents évaluent l'impact et se lancent.
1. Découverte : Infiniteingère le contexte à partir de la plateforme code-à-exécution Aikido(code source, architecture d'application, spécifications API, cloud ) et cartographie l'ensemble de la surface d'attaque, y compris les points de terminaison non documentés, les chemins logiques cachés et les anomalies architecturales trop longues à examiner manuellement. Les agents analysent votre système dans son ensemble, comprenant comment les composants interagissent et où les hypothèses s'effondrent.
2. Exploitez chaque chemin qui a été modifié : c'est là que Infinite se distingue des analyses par scanner, qui examinent les composants de manière isolée, un dépôt, un fichier, un risque théorique à la fois. En réalité, la sécurité se brise aux coutures. Une seule ligne modifiée peut affecter tous les chemins protégés de votre application. Deux modifications qui sont individuellement sûres peuvent être dangereuses lorsqu'elles sont combinées : un nouveau champ API ici, une vérification d'autorisation assouplie là, et soudainement, il y a une fuite de données entre les locataires qu'aucune des deux modifications n'aurait provoquée seule.
Ce sont précisément ce genre de problèmes que les tests d'intrusion visent à détecter, car ils n'apparaissent que dans la configuration réelle, où les composants interagissent dans leur ensemble. Le problème a toujours été qu'il est difficile et coûteux de tester toutes les combinaisons à ce niveau de profondeur. Infinite en fait la norme. Des agents spécialisés recherchent toutes les voies d'attaque viables sur la surface affectée : failles d’injection, contrôle d’accès défaillant, faiblesses d'authentification, SSRF, erreurs de logique métier, exposition des données entre locataires, le tout en utilisant des chemins d'attaque réels plutôt que des charges utiles fixes. Lorsqu'un agent trouve quelque chose, cette information est réinjectée dans la boucle, ce qui permet de mettre au jour des risques en chaîne. Les agents travaillent en parallèle sur toutes les fonctionnalités liées à la sécurité simultanément.
3. Valider : chaquerésultat est confirmé par une exploitation directe sur la cible réelle. Les problèmes qui ne peuvent être reproduits ne sont pas pris en compte dans les résultats.
4. AutoFix et nouveau test : AutoFix génère une PR merge PR la correction spécifique au niveau du code, adaptée à votre implémentation réelle. Les développeurs examinent, merge et les agents effectuent automatiquement un nouveau test pour confirmer que la correction est efficace. En quelques heures, une vulnérabilité passe du statut « découverte » à « résolue » puis « vérifiée ».
Comme Infinite réside au sein de la Aikido , il dispose d'un contexte que les outils de test d'intrusion autonomes n'ont tout simplement pas. Ce contexte, qui relie l'infrastructure au code, permet d'approfondir la découverte, d'affiner les corrections et de rendre les tests continus réellement viables.
Ce qui prenait auparavant des semaines, voire des trimestres, se fait désormais en quelques heures. Les agents s'occupent du travail fastidieux. Votre équipe examine, fusionne et passe à autre chose.
_1-2.png)
Publication → Différence de test de pénétration → Correctif → Nouveau test → Mise en production.
Éprouvé sur du code réel
Ces agents détectent déjà des vulnérabilités complexes dans des applications et des frameworks largement utilisés, des problèmes qui étaient passés inaperçus malgré des années d'examen par la communauté et d'analyse minutieuse par des experts.
Dans Coolify, nos agents ont identifié sept CVE, notamment une élévation de privilèges et une compromission complète de l'hôte via RCE en tant que root, sur plus de 52 000 instances exposées. Dans Astro, ils ont trouvé CVE-2026-25545, un SSRF dans l'adaptateur Node.js exposant les ressources du réseau interne. Dans SvelteKit sur Vercel, ils ont tracé SvelteSpill, une faille de tromperie de cache dans 150 000 lignes de code affectant chaque déploiement par défaut. Vercel a déployé un correctif à l'échelle de la plateforme après la divulgation.
Lors d'une comparaison directe entre deux applications de signature de documents, les agents ont découvert une faille critique dans l'intégrité du flux de travail qui permettait de falsifier les signatures électroniques, ainsi que 12 instances XSS. Les pentesteurs manuels, une équipe senior travaillant pendant deux semaines, ont trouvé un XSS et un SSRF. Sept de leurs neuf découvertes concernaient des contrôles de renforcement, ils ont complètement manqué la falsification des signatures. (Livre blanc complet ici).
Dans tous les cas, il s'agit de problèmes complexes, comportant plusieurs étapes, dans des bases de code matures. Les experts qui les ont manqués ne sont pas des débutants. Ce sont des professionnels chevronnés qui travaillent dans les mêmes conditions que toutes les équipes de sécurité : horaires limités, priorités concurrentes, forte pression et plus de code à examiner que n'importe quelle équipe ne peut traiter en profondeur.
Pour l'IA, cette contrainte disparaît. Les agents ont immédiatement accès au code source et s'adaptent à la richesse du contexte qu'ils ingèrent. Plus de code, plus de contexte architectural, de meilleurs résultats, sans augmentation des coûts. Les testeurs experts se sont concentrés sur la conformité et la configuration, car c'est là qu'ils ont consacré leur temps. Les agents sont allés plus loin, car ils en avaient la possibilité.
Même les plus grandes entreprises ne disposent pas d'assez d'experts pour tester de manière exhaustive chaque modification de code apportée à leurs applications. Désormais, nous pouvons donner à chaque équipe les moyens d'accéder à une analyse approfondie, disponible en permanence, pour chaque modification. Considérez cela comme une équipe de hackers d'élite entièrement dédiée à votre application, disponible 24 heures sur 24.
%20copy-2%20(1)%20copy-2.gif)
Ce que signifie « infini » pour vos équipes
Les attaquants disposent d'armes surpuissantes. Cela donne aux défenseurs les leurs.
Pour les professionnels de la sécurité : Infinite multiplie les capacités de test de votre équipe. Les agents gèrent la validation exhaustive de chaque version, élargissant automatiquement la couverture afin que vos experts puissent se concentrer sur les éléments essentiels et les décisions importantes. Des tests approfondis, rapides et complets sur chaque différence qui, autrement, mobiliseraient toute la bande passante de l'équipe ou ne seraient tout simplement pas effectués. Les professionnels de la sécurité disposent ainsi de plus de capacité pour la créativité, le contexte commercial et les problèmes les plus difficiles. Infinite permet aux équipes de sécurité de passer par défaut d'un mode « vérification critique » limité en ressources à un mode « vérification complète ».
Pour les développeurs : votre équipe livre 10 fois plus de code qu'il y a un an. Infinite vous permet d'avoir confiance dans les différences. Fini les tickets de sécurité qui apparaissent en cours de cycle avec des étapes de reproduction peu claires. Infinite détecte les problèmes, génère des correctifs et ouvre le PR. Vous le vérifiez, merge et reprenez le développement.
Et ensuite ?
Infinite est notre produit phare et la concrétisation d'une vision vers laquelle nous tendons depuis longtemps : un logiciel auto-sécurisé. ✨
Aujourd'hui, Infinite boucle la boucle entre l'expédition et la sécurisation. Chaque exécution enrichit la base de connaissances de sécurité Aikido relative à votre application avec des résultats réels, des chemins d'attaque validés et des correctifs confirmés. Où cette base de connaissances va-t-elle ensuite, comment alimente-t-elle la manière dont le code est écrit (ou généré) au départ ? Vous pouvez probablement imaginer pourquoi nous avons choisi le nom Infinite. Comme le suggère James Berthoty, fondateur de Latio Tech :
Dans un marché saturé, Aikido propose une approche véritablement unique pour sécuriser le code généré pentest IA l'IA, en utilisant pentest IA continus pentest IA améliorer chaque test par rapport au précédent et rendre la génération de code plus sûre par défaut.
La prochaine fois que vous aurez de mes nouvelles, ce sera avec un graphique cliché mais bien conçu représentant « la sécurité tout au long du cycle de vie du logiciel comme un signe de l'infini ». Nous avons encore beaucoup à construire. Et nous continuerons à aller de l'avant jusqu'à ce que la sécurité fonctionne à la vitesse exigée par les logiciels et méritée par les développeurs.
Vous souhaitez essayer Infinite dès aujourd'hui ? Vous pouvez commencer gratuitement,Planifiez une démo, ou entrez dans l'infini le mois prochain à RSA à San Francisco.
xo Madeline, Aikido
Et oui, la vidéo de lancement est une parodie de Matrix :
