Vous connaissez déjà ce problème, car vous le vivez au quotidien.
Si vous êtes une entreprise en croissance, vous effectuez un pentest une fois par an… peut-être deux fois si la conformité l'exige. Vous planifiez l'intervention, figez les modifications, attendez des semaines, et recevez un PDF. Au moment où le rapport arrive, votre application a déjà changé.
Si vous êtes une organisation plus grande avec une équipe de sécurité interne, le tableau est différent, mais la contrainte est la même. Votre équipe teste. Elle est compétente. Mais elle fait des choix difficiles chaque jour sur ce qu'il faut couvrir et ce qu'il faut ignorer, car elle ne peut pas examiner chaque modification dans chaque domaine avec la profondeur qu'elle mérite. Elle ne se contente pas de trier les résultats, mais ce qu'il faut même examiner.
Des deux côtés, les tests ne suivent jamais le rythme des déploiements. Aujourd'hui, cela change.
Le fossé qui se creuse à chaque déploiement
Imaginez votre historique de commits sur l'année écoulée. Maintenant, imaginez vos pentests, qu'il s'agisse de deux interventions externes ou de l'effort continu de votre équipe interne.
Votre organisation d'ingénierie peut pousser des milliers de lignes par jour. Votre équipe de sécurité, aussi compétente ou bien dotée en ressources soit-elle, ne peut en examiner manuellement qu'une fraction avec la profondeur d'un pentest.
Chaque modification qui n'a pas été testée est une version de votre application qui n'a jamais été entièrement validée. Si une vulnérabilité a été introduite entre les tests, elle reste en production jusqu'à la prochaine fois que quelqu'un examine ce chemin. La surface d'attaque s'accroît à chaque déploiement. La capacité de sécurité ne s'adapte pas en conséquence.
C'est un problème structurel. On ne peut pas le résoudre avec des analyses plus rapides, de meilleures alertes ou plus de personnel. Nous devons changer de modèle. Parmi les 400 leaders de la sécurité et de l'ingénierie que nous avons interrogés, 76 % déploient des changements de production significatifs chaque semaine, voire plus rapidement. Seuls 21 % valident la sécurité à chaque version. Et 85 % ont déclaré que leurs résultats de sécurité étaient déjà obsolètes au moment où l'analyse arrivait.
Ce fossé entre le déploiement et la sécurisation n'est pas théorique. C'est la brèche par laquelle les attaquants s'engouffrent. Et ils sont de plus en plus rapides : cette semaine, des chercheurs ont révélé qu'un seul hacker a utilisé Claude pour s'introduire dans plusieurs agences gouvernementales mexicaines, exfiltrant 150 Go de données de contribuables et d'électeurs. Une personne, un outil d'IA, des milliers de commandes automatisées. Les attaquants disposent désormais de jouets surpuissants. Il est temps que les défenseurs aient les leurs.
Voici Aikido Infinite
Le mois dernier, lorsque nous avons annoncé notre série B, nous avons fait une promesse : le prochain chapitre d'Aikido porterait sur le logiciel auto-sécurisé. Un logiciel qui se protège au fur et à mesure de sa construction et de sa publication. Aujourd'hui, nous tenons cette promesse.
Qu'est-ce que c'est
Aikido Infinite est un test d'intrusion autonome continu avec remédiation intégrée. Chaque fois que votre application change, des agents autonomes effectuent un pentest du déploiement, valident ce qui est réellement exploitable, génèrent des correctifs et retestent les correctifs, le tout avant que le code n'atteigne la production : Pentestez chaque version. Corrigez automatiquement.
Non, ce n'est pas du DAST avec un coup de peinture LLM
Pendant des années, le DAST était ce qui se rapprochait le plus des tests de sécurité continus dans l'industrie, et personne n'a jamais dit « ce DAST est génial » (désolé, pas désolé). La profondeur n'est pas là. Le rapport signal/bruit n'est pas là. Le correctif n'est pas là. Infinite fonctionne différemment : des agents offensifs autonomes qui raisonnent sur le comportement des applications, enchaînent des chemins d'attaque multi-étapes, exploitent une suite d'outils étendue et valident l'exploitabilité par une exploitation réelle. Dans un cas, les agents ont découvert qu'une falsification de signature était possible dans une application de signature de documents : Changements d'authentification découverts -> Connecté en tant que membre -> Privilèges escaladés -> Autorisation brisée confirmée. Ce n'est pas l'analyse dynamique de vos grands-pères.
Fonctionnement
Lorsqu'un nouveau code est intégré, Aikido Infinite analyse le diff et identifie les changements qui impactent votre surface d'attaque. Mise à jour d'un README et de la couleur d'un bouton ? Ignoré. Logique d'authentification ou points d'API modifiés ? Les agents évaluent l'impact et se lancent.
1. Découverte : Infinite ingère le contexte de la plateforme code-to-runtime d'Aikido (code source, architecture applicative, spécifications API, configuration cloud) et cartographie l'intégralité de la surface d'attaque, y compris les points d'accès non documentés, les chemins logiques cachés et les anomalies architecturales trop chronophages pour une revue manuelle. Les agents raisonnent sur votre système dans son ensemble, comprenant comment les composants interagissent et où les hypothèses s'effondrent.
2. Exploitez chaque chemin modifié : C'est là qu'Infinite diverge des vérifications de scanners, qui examinent les composants de manière isolée, un dépôt, un fichier, un risque théorique à la fois. En réalité, la sécurité se brise aux jointures. Un seul changement de ligne peut affecter chaque route protégée de votre application. Deux changements individuellement sûrs peuvent être dangereux en combinaison : un nouveau champ d'API ici, une vérification de permission assouplie là, et soudain, il y a une fuite de données inter-locataires qu'aucun des deux changements n'aurait introduite seul.
Ce sont les types de problèmes que les tests d'intrusion visent à découvrir, car ils n'apparaissent que dans la configuration réelle et en cours d'exécution où les composants interagissent dans leur ensemble. Le problème a toujours été que tester chaque combinaison à cette profondeur est difficile et coûteux. Infinite en fait la norme. Des agents spécialisés explorent chaque voie d'attaque viable sur la surface affectée : failles d’injection, contrôle d’accès défaillant, faiblesses d'authentification, SSRF, erreurs de logique métier, exposition de données inter-locataires, le tout en utilisant de véritables chemins d'attaque plutôt que des charges utiles fixes. Lorsqu'un agent découvre quelque chose, cette intelligence est réinjectée dans la boucle, révélant des risques en chaîne. Les agents travaillent en parallèle sur toutes les fonctionnalités pertinentes pour la sécurité simultanément.
3. Validation : Chaque découverte est confirmée par une exploitation directe contre la cible en direct. Les problèmes qui ne peuvent pas être reproduits n'apparaissent pas dans les résultats.
4. AutoFix et retest : AutoFix génère une PR prête à être merge avec le correctif spécifique au niveau du code, ciblé sur votre implémentation réelle. Les développeurs examinent, mergent, et les agents retestent automatiquement pour confirmer que le correctif est efficace. En quelques heures, une vulnérabilité passe de découverte à résolue et vérifiée.
Parce qu'Infinite est intégré à la plateforme Aikido, il dispose d'un contexte que les outils de pentesting autonomes n'ont tout simplement pas. Ce contexte de l'infrastructure au code est ce qui rend la découverte plus approfondie, les correctifs plus précis et les tests continus réellement viables.
Ce qui prenait des semaines ou des trimestres se produit maintenant en quelques heures. Les agents font le gros du travail. Votre équipe examine, merge et passe à autre chose.
_1-2.png)
Version → Différentiel de Pentest → Correctif → Retest → Déploiement en production.
Prouvé sur du code réel
Ces agents découvrent déjà des vulnérabilités complexes dans des applications et frameworks largement utilisés, des problèmes qui étaient passés inaperçus même après des années de revue communautaire et d'examen par des experts.
Dans Coolify, nos agents ont identifié sept CVEs incluant une élévation de privilèges et une compromission complète de l'hôte via RCE en tant que root, sur plus de 52 000 instances exposées. Dans Astro, ils ont trouvé CVE-2026-25545, une SSRF dans l'adaptateur Node.js exposant des ressources réseau internes. Dans SvelteKit sur Vercel, ils ont retracé SvelteSpill, une faille de déception de cache sur 150 000 lignes de code affectant chaque déploiement par défaut. Vercel a déployé un correctif à l'échelle de la plateforme après la divulgation.
Lors d'une comparaison directe sur une application de signature de documents, les agents ont découvert une faille critique d'intégrité du workflow permettant de forger des signatures électroniques, ainsi que 12 instances XSS. Les pentesters manuels, une équipe senior sur deux semaines, ont trouvé une XSS et une SSRF. Sept de leurs neuf découvertes étaient des vérifications de durcissement, ils ont complètement manqué la falsification de signature. (Livre blanc complet ici).
Dans tous les cas, il s'agit de problèmes profonds et multi-étapes dans des bases de code matures. Les experts qui les ont manqués ne sont pas juniors. Ce sont des professionnels seniors travaillant sous les mêmes contraintes que toutes les équipes de sécurité rencontrent : heures limitées, priorités concurrentes, forte pression et plus de code à examiner en profondeur que n'importe quelle équipe ne peut gérer.
Pour l'IA, cette contrainte disparaît. Donner aux agents l'accès au code source est instantané, et ils évoluent avec la richesse du contexte qu'ils ingèrent. Plus de code, plus de contexte architectural, de meilleurs résultats, sans coût plus élevé. Les testeurs experts se sont concentrés sur la conformité et la configuration parce que c'est là que leur temps était alloué. Les agents sont allés plus loin parce qu'ils le pouvaient.
Même les plus grandes entreprises n'ont pas suffisamment d'experts pour tester de manière exhaustive chaque modification de code poussée vers leurs applications. Désormais, nous pouvons donner à chaque équipe l'accès à une analyse approfondie, toujours active, pour chaque changement. Considérez-le comme une équipe de hackers d'élite dédiée à 100 % à votre application, disponible 24h/24.
%20copy-2%20(1)%20copy-2.gif)
Ce que Infinite signifie pour vos équipes
Les attaquants disposent de jouets surpuissants. Ceci donne aux défenseurs les leurs.
Pour les professionnels de la sécurité : Infinite multiplie la capacité de test de votre équipe. Les agents gèrent la validation exhaustive de chaque version, élargissant automatiquement la couverture afin que vos experts puissent se concentrer sur les actifs critiques et les décisions stratégiques. Ampleur, rapidité, tests approfondis sur chaque diff qui, autrement, consommeraient la bande passante de l'équipe, ou ne seraient tout simplement pas effectués. Les professionnels de la sécurité obtiennent plus de capacité pour la créativité, le contexte métier et les problèmes les plus complexes. Infinite permet aux équipes de sécurité de passer du mode « vérifier le critique » contraint par les ressources au mode « tout vérifier » par défaut.
Pour les développeurs : Votre équipe livre 10 fois plus de code qu'il y a un an. Infinite signifie que vous pouvez avoir confiance dans le diff. Fini les tickets de sécurité qui apparaissent en milieu de cycle avec des étapes de reproduction peu claires. Infinite trouve les problèmes, génère les correctifs et ouvre la PR. Vous l'examinez, le mergez et reprenez la construction.
Quelle est la suite ?
Infinite est notre produit phare et la concrétisation d'une vision que nous développons : un logiciel auto-sécurisant. ✨
Aujourd'hui, Infinite boucle la boucle entre le déploiement et la sécurisation. Chaque exécution enrichit la base de connaissances de sécurité d'Aikido pour votre application avec des découvertes réelles, des chemins d'attaque validés et des correctifs confirmés. La direction que prend cette base de connaissances, la manière dont elle se répercute sur la façon dont le code est écrit (ou généré) en premier lieu, eh bien, vous pouvez probablement imaginer pourquoi nous avons choisi le nom Infinite. Comme le suggère James Berthoty, fondateur de Latio Tech :
Dans un marché saturé, Aikido Infinite offre une approche véritablement unique pour sécuriser le code généré par l'IA, en utilisant des pentest IA continus pour rendre chaque test meilleur que le précédent, et la génération de code plus sécurisée par défaut.
La prochaine fois que vous aurez de mes nouvelles, ce sera avec un graphique cliché mais bien conçu sur « la sécurité tout au long du cycle de vie logiciel représentée par un signe infini ». Nous avons encore beaucoup à construire. Et nous continuerons à pousser jusqu'à ce que la sécurité fonctionne à la vitesse exigée par les logiciels, et que les développeurs méritent.
Envie d'essayer Infinite dès aujourd'hui ? Vous pouvez commencer gratuitement, planifiez une démo, ou découvrir Infinite le mois prochain au RSA à San Francisco.
xo Madeline, Aikido
Et oui, la vidéo de lancement est une parodie de Matrix :
