Ya conoces este problema, porque lo vives.
Si eres una empresa en crecimiento, realizas pruebas de penetración una vez al año... quizá dos si así lo exige el cumplimiento normativo. Programas la intervención, congelas los cambios, esperas semanas y obtienes un PDF. Para cuando llega el informe, tu aplicación ya ha cambiado.
Si usted pertenece a una organización más grande con un equipo de seguridad interno, el panorama es diferente, pero la limitación es la misma. Su equipo está realizando pruebas. Son buenos en eso. Sin embargo, cada día deben tomar decisiones difíciles sobre qué cubrir y qué omitir, ya que no pueden revisar cada cambio en todas las áreas con la profundidad que merecen. No solo clasifican los hallazgos, sino también qué es lo que deben examinar.
En ambos lados, las pruebas nunca siguen el ritmo de los envíos. Hoy, eso cambia.
La brecha que se amplía con cada implementación
Imagina tu historial de compromisos durante el último año. Ahora imagina tus pruebas de penetración, ya sean dos compromisos externos o el esfuerzo continuo de tu equipo interno.
Tu organización de ingeniería puede generar miles de líneas al día. Tu equipo de seguridad, por muy cualificado y bien dotado que esté, solo puede revisar manualmente una pequeña parte de ellas con la profundidad de una prueba de penetración.
Cada cambio que no se ha probado es una versión de su aplicación que nunca se ha validado por completo. Si se ha introducido una vulnerabilidad entre pruebas, permanecerá en producción hasta la próxima vez que alguien revise esa ruta. La superficie de ataque crece con cada implementación. La capacidad de seguridad no se adapta a ello.
Se trata de un problema estructural. No se puede solucionar con análisis más rápidos, mejores alertas o más personal. Tenemos que cambiar el modelo. De los 500 responsables de seguridad e ingeniería que hemos encuestado, el 76 % implementa cambios significativos en la producción cada semana o con mayor frecuencia. Solo el 21 % valida la seguridad en cada lanzamiento. Y el 85 % afirma que sus conclusiones en materia de seguridad ya están obsoletas cuando llega el análisis.
Esa brecha entre el barco y la seguridad no es teórica. Es la ventana por la que entran los atacantes. Y cada vez son más rápidos: esta semana, los investigadores revelaron que un solo hacker utilizó Claude para violar la seguridad de múltiples agencias gubernamentales mexicanas, filtrando 150 GB de registros de contribuyentes y votantes. Una persona, una herramienta de IA, miles de comandos automatizados. Los atacantes ahora tienen juguetes superpoderosos. Es hora de que los defensores tengan los suyos.
Entra en Aikido Infinite
El mes pasado, cuando anunciamos nuestra Serie B, hicimos una promesa: el próximo capítulo de Aikido trataría sobre el software autoseguro. Software que se protege a sí mismo a medida que se crea y se lanza al mercado. Hoy, cumplimos esa promesa.
Qué es
Aikido Infinite es una prueba de penetración autónoma continua con corrección integrada. Cada vez que su aplicación cambia, los agentes autónomos realizan pruebas de penetración en la implementación, validan lo que realmente se puede explotar, generan parches y vuelven a probar las correcciones, todo ello antes de que el código llegue a producción: Prueba de penetración en cada lanzamiento. Parche automático.
No, no es DAST pintalabios LLM.
Durante años, DAST lo más parecido que tenía la industria a pruebas de seguridad continuas, y nadie dijo nunca «este DAST genial» (lo siento, pero no lo siento). No tiene profundidad. No tiene relación señal-ruido. No tiene solución. Infinite funciona de manera diferente: agentes ofensivos autónomos que razonan sobre el comportamiento de las aplicaciones, encadenan rutas de ataque de varios pasos, aprovechan un amplio conjunto de herramientas y validan la explotabilidad a través de la explotación real. En un caso, los agentes descubrieron que era posible falsificar firmas en una aplicación de firma de documentos: descubrieron cambios en la autenticación -> iniciaron sesión como miembros -> escalaron privilegios -> confirmaron la autorización rota. Esto no es elescaneo dinámico de tus abuelos.
Cómo funciona
Cuando llega un nuevo código, Aikido Infinite analiza las diferencias e identifica los cambios que afectan a su superficie de ataque. ¿Se ha actualizado un archivo README y el color de un botón? Se omite. ¿Se ha cambiado la lógica de autenticación o los puntos finales de la API? Los agentes evalúan el impacto y se ponen en marcha.
1. Descubrir: Infiniterecopila información contextual de la plataforma de código a tiempo de ejecución de Aikido (código fuente, arquitectura de la aplicación, especificaciones de API, configuración de la nube) y mapea toda la superficie de ataque, incluidos los puntos finales no documentados, las rutas lógicas ocultas y las anomalías arquitectónicas que requieren demasiado tiempo para su revisión manual. Los agentes analizan su sistema en su conjunto, comprendiendo cómo interactúan los componentes y dónde fallan las suposiciones.
2. Aprovecha cada ruta que haya cambiado: aquí es donde Infinite se diferencia de los escáneres, que analizan los componentes de forma aislada, un repositorio, un archivo, un riesgo teórico cada vez. En realidad, la seguridad se rompe en las costuras. Un solo cambio de línea puede afectar a todas las rutas protegidas de tu aplicación. Dos cambios que son seguros individualmente pueden ser peligrosos en combinación: un nuevo campo API aquí, una comprobación de permisos menos estricta allá, y de repente se produce una fuga de datos entre inquilinos que ninguno de los dos cambios habría provocado por sí solo.
Este es el tipo de problemas que se buscan con las pruebas de penetración, ya que solo salen a la luz en la configuración real y en funcionamiento, donde los componentes interactúan como un todo. El problema siempre ha sido que probar todas las combinaciones a ese nivel de profundidad es difícil y caro. Infinite lo convierte en el valor predeterminado. Agentes especializados persiguen todas las rutas de ataque viables a través de la superficie afectada: fallos de inyección, control de acceso roto, debilidades de autenticación, SSRF, errores de lógica empresarial, exposición de datos entre inquilinos, todo ello utilizando rutas de ataque reales en lugar de cargas útiles fijas. Cuando un agente encuentra algo, esa información se retroalimenta en el bucle, descubriendo riesgos encadenados. Los agentes trabajan en paralelo en todas las funciones relevantes para la seguridad simultáneamente.
3. Validar: cadahallazgo se confirma mediante la explotación directa contra el objetivo real. Los problemas que no se pueden reproducir no se incluyen en los resultados.
4. AutoFix y nueva prueba: AutoFix genera una solicitud de incorporación de cambios lista para fusionar con la corrección específica a nivel de código, dirigida a su implementación real. Los desarrolladores revisan, fusionan y los agentes vuelven a realizar pruebas automáticamente para confirmar que la corrección se mantiene. En cuestión de horas, una vulnerabilidad pasa de ser descubierta a resuelta y verificada.
Dado que Infinite reside dentro de la plataforma Aikido, cuenta con un contexto que las herramientas de pruebas de penetración independientes simplemente no tienen. Ese contexto de infraestructura a código es lo que hace que el descubrimiento sea más profundo, las correcciones más precisas y las pruebas continuas realmente viables.
Lo que antes llevaba semanas o trimestres, ahora se hace en horas. Los agentes hacen el trabajo pesado. Tu equipo revisa, fusiona y sigue adelante.
_1-2.png)
Lanzamiento → Diferencia de prueba de penetración → Parche → Nueva prueba → Envío a producción.
Probado en código real
Estos agentes ya están encontrando vulnerabilidades complejas en aplicaciones y marcos ampliamente utilizados, problemas que habían pasado desapercibidos incluso tras años de revisión por parte de la comunidad y escrutinio por parte de expertos.
En Coolify, nuestros agentes identificaron siete CVE, entre los que se incluyen la escalada de privilegios y el compromiso total del host a través de RCE como root, en más de 52 000 instancias expuestas. En Astro, encontraron CVE-2026-25545, un SSRF en el adaptador Node.js que expone los recursos de la red interna. En SvelteKit en Vercel, rastrearon SvelteSpill, un fallo de engaño de caché en 150 000 líneas de código que afectaba a todas las implementaciones predeterminadas. Vercel implementó una corrección en toda la plataforma tras la divulgación.
En una comparación directa de una aplicación de firma de documentos, los agentes descubrieron un fallo crítico en la integridad del flujo de trabajo que permitía falsificar las firmas electrónicas, junto con 12 casos de XSS. Los pentesters manuales, un equipo senior que trabajó durante dos semanas, encontraron un XSS y un SSRF. Siete de sus nueve hallazgos fueron comprobaciones de refuerzo, y pasaron por alto por completo la falsificación de firmas. (Documento técnico completo aquí).
En todos los casos, se trata de problemas profundos y complejos en bases de código maduras. Los expertos que los pasaron por alto no son novatos. Son profesionales con amplia experiencia que trabajan bajo las mismas limitaciones a las que se enfrenta cualquier equipo de seguridad: horas limitadas, prioridades contrapuestas, mucha presión y más código para revisar del que cualquier equipo puede analizar en profundidad.
En el caso de la IA, esa limitación desaparece. Los agentes tienen acceso instantáneo al código fuente y se adaptan a la riqueza del contexto que ingieren. Más código, más contexto arquitectónico, mejores resultados, sin aumento de costes. Los evaluadores expertos se centraron en el cumplimiento y la configuración porque era ahí donde dedicaban su tiempo. Los agentes profundizaron más porque podían hacerlo.
Ni siquiera las empresas más grandes cuentan con suficientes expertos para probar exhaustivamente cada cambio de código que se introduce en sus aplicaciones. Ahora, podemos dotar a todos los equipos de acceso a un análisis profundo, siempre activo, para cada cambio. Piensa en ello como un equipo de hackers de élite dedicado al 100 % a tu aplicación, disponible las 24 horas del día.
%20copy-2%20(1)%20copy-2.gif)
Qué significa Infinite para tus equipos
Los atacantes tienen juguetes con superpoderes. Esto les da a los defensores los suyos.
Para los profesionales de la seguridad: Infinite multiplica la capacidad de prueba de su equipo. Los agentes se encargan de la validación exhaustiva en cada lanzamiento, ampliando automáticamente la cobertura para que sus expertos puedan centrarse en los aspectos más importantes y en las decisiones críticas. Amplitud, velocidad y pruebas exhaustivas en cada diferencia que, de otro modo, consumirían el ancho de banda del equipo o simplemente no se realizarían. Los profesionales de la seguridad obtienen más capacidad para la creatividad, el contexto empresarial y los problemas más difíciles. Infinite permite a los equipos de seguridad pasar del modo «comprobar lo crítico», con recursos limitados, al modo «comprobar todo» por defecto.
Para desarrolladores: tu equipo está enviando 10 veces más código que hace un año. Infinite significa que puedes confiar en la diferencia. Se acabaron los tickets de seguridad que aparecen a mitad del ciclo con pasos de reproducción poco claros. Infinite encuentra problemas, genera soluciones y abre la solicitud de incorporación de cambios. Tú lo revisas, lo fusionas y vuelves a la construcción.
¿Qué sigue?
Infinite es nuestro producto estrella y la materialización de una visión hacia la que hemos estado trabajando: software con seguridad automática. ✨
Hoy en día, Infinite cierra el círculo entre el envío y la seguridad. Cada ejecución enriquece la base de conocimientos de seguridad de Aikido sobre su aplicación con hallazgos reales, rutas de ataque validadas y soluciones confirmadas. Hacia dónde se dirige esa base de conocimientos, cómo se retroalimenta en la forma en que se escribe (o se genera) el código en primer lugar, bueno, probablemente pueda imaginar por qué elegimos el nombre Infinite. Como alude James Berthoty, fundador de Latio Tech:
En un mercado saturado, Aikido Infinite ofrece un enfoque verdaderamente único para proteger el código generado por IA, utilizando pentesting de IA continuas pentesting de IA mejorar cada prueba con respecto a la anterior y hacer que la generación de código sea más segura por defecto.
La próxima vez que tengas noticias mías, será con un gráfico cliché pero bien diseñado que representa «la seguridad a lo largo del ciclo de vida del software como un signo de infinito». Tenemos mucho más por construir. Y seguiremos esforzándonos hasta que la seguridad funcione a la velocidad que exige el software y que los desarrolladores merecen.
¿Quieres probar Infinite hoy mismo? Puedes empezar de forma gratuita, reservar una demostración o entrar en el infinito el próximo mes en RSA, en San Francisco.
xo Madeline, Aikido
Y sí, el vídeo de lanzamiento es una parodia de Matrix:
