Aikido
Empieza gratis
Sin tarjeta
Blog
/
Ingeniería

AutoTriage y el modelo suizo de seguridad reducción de ruido

Madeline LawrenceMadeline Lawrence
|
No se encontraron elementos.
Publicado el:
Octubre 25, 2025
Última actualización el:
Enero 7, 2026

AutoTriage y el modelo suizo de seguridad reducción de ruido

O por qué es probable que tus escáneres tradicionales informen demasiado.

El modelo del queso suizo es una forma clásica de razonar sobre el riesgo. En industrias donde la seguridad es fundamental, postula que los incidentes ocurren cuando se alinean «agujeros» en múltiples defensas imperfectas. Para mitigar estos riesgos, se añaden capas de defensa para reducir o eliminar los agujeros y evitar que se produzcan resultados negativos.

Crédito: Ben Aveling

En la seguridad de las aplicaciones, los incidentes no solo se deben a vulnerabilidades en el código y la configuración, sino también a una pérdida de enfoque técnico provocada por falsos positivos y una lentitud en la corrección. gestión de vulnerabilidades tanto un problema técnico como de procesos, y Aikido adopta un enfoque estratégico para reducir el ruido y acelerar las correcciones que realmente importan.


La importancia de la defensa por capas

Podemos visualizar un AppSec moderno AppSec como un conjunto de «porciones» apiladas, cada una diseñada para detectar diferentes tipos de problemas y reducir la superficie de riesgo general. Entre ellas se incluyen:

  • Escaneo de código y accesibilidad
  • Clasificación de incidencias para evaluar su explotabilidad, prioridad e impacto.
  • Probabilidad de explotación y su contexto ambiental
  • Controles con intervención humana (IDE locales, sistemas de CI, flujos de aprobación de relaciones públicas)
  • La solución real al código utilizando humanos y LLM

Cada uno de los elementos anteriores puede representar tanto un punto débil explotable como un obstáculo para su corrección. Por lo tanto, los flujos de trabajo de Aikido se centran en reducir sin descanso la fricción, de modo que las vulnerabilidades reales se corrijan allí donde son más explotables.

Agujeros de contracción con accesibilidad

Un punto débil del análisis de código tradicional es que el «éxito» puede malinterpretarse como encontrar tantos problemas como sea posible. Entre ellos se incluyen hallazgos que se notifican como vulnerabilidades, incluso cuando no se puede acceder a la ruta o al paquete de código vulnerable desde entradas controladas por el usuario. El motor de accesibilidad de Aikido añade análisis de flujo de programa para ignorar automáticamente estos casos desde el principio. Solo con esto se reduce una parte significativa del ruido.

Por ejemplo, un SCA tradicional podría detectar una versión obsoleta de pyyaml que contiene una vulnerabilidad crítica. Sin embargo, análisis de alcanzabilidad no hay ningún código que realmente utilice el paquete. Por lo tanto, el problema puede ignorarse automáticamente de forma segura a pesar de su gravedad documentada.

AutoTriage como puerta de razonamiento

Si la accesibilidad determina que un hallazgo es nominalmente explotable, Aikido AutoTriage pregunta lo siguiente:

  1. ¿Podemos descartar la posibilidad de explotación? Es decir, ¿existe una validación, sanitización o conversión efectiva que mitigue la explotación?
  2. Si no podemos descartarlo, ¿cómo debemos priorizarlo? Estimamos la probabilidad y la gravedad y luego lo clasificamos en consecuencia.

Ya hemos publicado anteriormente cómo ayudan los modelos de razonamiento en este sentido. En muchos casos, las «reglas generales» son suficientes (y más económicas). Para casos más complejos (por ejemplo, recorridos de rutas), los modelos de razonamiento reducen aún más los falsos positivos al descomponer el problema.

Todo esto se basa en una profunda conciencia del efecto «Cry Wolf», según el cual un exceso de alertas de bajo valor degrada la confianza y la capacidad de respuesta. Reducirlo es uno de los objetivos principales de AutoTriage.

Probabilidad de explotación y contexto del entorno

La probabilidad de que se produzca un exploit en el mundo real es importante. Aikido utiliza EPSS para ignorar o rebajar automáticamente los problemas de bajo riesgo y centrar a los equipos en los ataques que realmente se están produciendo. Dado que EPSS se actualiza a diario, esta capa mantiene la pila alineada con la realidad actual de las amenazas, en lugar de con las puntuaciones históricas de CVSS.

Además, aumentamos o reducimos la gravedad en función del contexto, como la exposición a Internet, los entornos de desarrollo frente a los de producción y los controles circundantes. Aquí es donde la recopilación de contexto es fundamental. Si el contexto es incorrecto, la decisión sobre la gravedad también lo será. Por eso invertimos en ajustar rápidamente nuestros LLM y en introducir el código y los detalles del entorno adecuados en los modelos que realizan la clasificación automática.


La accesibilidad muestra que este exploit es accesible en el código. Sin embargo, el análisis de IA determina que, en este contexto, esta vulnerabilidad de falsificación de solicitudes no tiene ningún efecto, ya que el dominio del host está codificado de forma fija y el atacante no puede modificarlo.

El factor humano donde realmente importa

La IA generativa tiene un problema bien documentado relacionado con el bucle de retroalimentación. Todavía se necesita a personas para comprobar los resultados y decidir en última instancia si se envían. Aikido muestra intencionadamente sus recomendaciones en los lugares donde ya trabaja tu equipo:

  • En tu IDE, para que puedas realizar correcciones rápidas antes de enviar a un repositorio compartido y ejecutar canalizaciones de CI.
  • En relaciones públicas, para que los revisores vean el contexto de clasificación y las sugerencias de AutoFix justo cuando cambia el código.
  • En CI, puede situar la seguridad en el contexto de sus procesos automatizados existentes de creación, prueba e implementación.

El objetivo es reservar el tiempo, el esfuerzo y el criterio humanos para los ámbitos en los que realmente se necesitan.

AutoFix enviará las correcciones inmediatamente.

Si un hallazgo es susceptible de ser explotado y tiene un gran impacto, la mejor alerta es aquella que incluye una solución documentada con el contexto ya recopilado por Aikido. Aikido corrección automática con IA proporciona una vista previa del cambio necesario para la corrección, genera la solicitud de extracción para su repositorio y ofrece comentarios detallados sobre el cambio en el código y las vulnerabilidades que se resuelven.

AutoFix está disponible actualmente para SAST, escaneo IaC, SCA e imágenes de contenedores. Tu código nunca se almacena de forma permanente mediante tecnología de IA ni se permite su uso para entrenar modelos de IA (consulta el centro de confianza de Aikido para obtener más información).

Poner el aikido en práctica

El modelo original del queso suizo enseña que los incidentes surgen de debilidades alineadas. En la seguridad de las aplicaciones, el ruido y el retraso son dos de esas debilidades. Si eres nuevo en Aikido, al principio quizá te preguntes por qué ves menos problemas de seguridad de los que cabría esperar. ¡Esto es a propósito! Aikido trabaja de forma intencionada y proactiva para minimizar el trabajo administrativo que debes realizar para clasificar cientos de problemas, de los cuales solo algunos podrían tener un impacto significativo.

Al combinar accesibilidad, clasificación basada en el razonamiento, validación humana cuando es necesario y soluciones con un solo clic, hacemos que sea mucho más difícil que se produzcan esos fallos y mucho más fácil para tu equipo pasar a realizar el trabajo que realmente importa.

4.7/5

Protege tu software ahora.

Empieza gratis
Sin tarjeta
Solicitar una demo
Sus datos no se compartirán · Acceso de solo lectura · No se requiere tarjeta de crédito
Escrito por
Madeline Lawrence

CGO

Madeline Lawrence es directora general de crecimiento (CGO) en Aikido Security, donde se encarga del crecimiento, la marca y el marketing. Anteriormente fue socia del fondo de capital riesgo Peak, valorado en 150 millones de dólares, y es miembro del consejo asesor de TNW.

Ir a:
Enlace de texto

Protege tu software ahora.

Empieza gratis
Sin tarjeta
Empieza gratis
Sin tarjeta
Solicitar una demo
Compartir:

https://www.aikido.dev/blog/autotriage-and-the-swiss-cheese-model-of-security-noise-reduction

Publicaciones similares
Enero 14, 2026

De «No Bullsh*t Security» a 1000 millones de dólares: acabamos de recaudar 60 millones de dólares en nuestra ronda de financiación Serie B.

Aikido anuncia una ronda de financiación Serie B de 60 millones de dólares con una valoración de 1000 millones de dólares, lo que acelera su visión de software autoseguro y pruebas de penetración continuas.

Etiquetas/
Diciembre 15, 2025

SAST el IDE ahora es gratuito: trasladar SAST donde realmente se desarrolla el trabajo.

Ejecute SAST directamente en su IDE con información en tiempo real y visibilidad de todo el proyecto. Utilice las mismas SAST y el mismo motor SAST que Aikido, con AutoFix opcional para los resultados compatibles.

Etiquetas/
Noviembre 28, 2025

SCA : escanea y corrige las dependencias de código abierto en tu IDE

Incorpore el SCA completo SCA a su IDE con el análisis en el editor y la función AutoFix. Detecte paquetes vulnerables, revise las CVE y aplique actualizaciones seguras sin abandonar su flujo de trabajo de desarrollo.

Etiquetas/

Asegúrate ahora.

Proteja su código, la nube y el entorno de ejecución en un único sistema central.
Encuentre y corrija vulnerabilidades de forma rápida y automática.

Iniciar escaneo
Sin tarjeta
Solicitar una demo
No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.
No se encontraron elementos.