En resumen: Aikido Code Audit cubre el vacío existente entre SAST las pruebas de penetración, ya que analiza de forma lógica el código estático para detectar vulnerabilidades de varios pasos y dependientes de la intención del atacante antes de que se lancen al mercado.
La semana pasada, Anthropic lanzó Claude Fable 5, una versión pública de su modelo de la clase Mythos, capaz de descubrir y encadenar vulnerabilidades de día cero. Fable 5 incorpora medidas de seguridad que bloquean las consultas relacionadas con la ciberseguridad y recurren a un modelo más limitado, por lo que la versión pública no ejecuta esos ataques por ti.
Al menos, esa era la idea.
Pero parece que una o más organizaciones han conseguido «liberar» Fable 5, lo que ha llevado a Anthropic a retirar el modelo bajo la presión del Gobierno de EE. UU. La cuestión es que no se puede volver a meter al genio en la lámpara. Ya sea mediante «liberaciones» o a través del código abierto, los atacantes obtendrán acceso a modelos cada vez más potentes.
El rumbo está marcado. La habilidad y el tiempo que antes se necesitaban para encontrar y encadenar fallos en una aplicación se están reduciendo a algo que un agente puede hacer sin necesidad de horas o días de esfuerzo humano. Esto es especialmente cierto en el caso de los fallos basados en la lógica que no están cubiertos por análisis estático de código existentes. Este tipo de fallos no siguen patrones predecibles, por lo que el análisis estático no tiene nada con lo que compararlos.
Sin embargo, los defensores pueden mantenerse un paso por delante utilizando los mismos modelos agenticos, analizando y detectando fallos de seguridad en sus códigos antes de que lleguen a producción. Y por eso hemos creado Aikido Code Audit.
Qué hace realmente Code Audit
Code Audit no sustituye a tu SAST , que es excelente para detectar vulnerabilidades de seguridad basadas en reglas a medida que desarrollas. Tampoco sustituye a las pruebas de penetración. Se sitúa entre ambas, analizando tu código estático con un razonamiento propio de las pruebas de penetración.
Recurre a Code Audit antes de un lanzamiento importante o tras la incorporación de una funcionalidad clave. Esta herramienta rastrea las referencias entre archivos y módulos. Detecta problemas que abarcan varios pasos, en los que la vulnerabilidad no se encuentra en una sola línea de código. Cada hallazgo incluye la causa raíz, pruebas basadas en el código y una función de corrección automática (AutoFix) que te permite generar al instante una solicitud de incorporación de cambios (PR) para resolver el problema.
En la práctica, esto se ve así:
Una cadena de IDOR de varios pasos que abarca tres archivos y que un escáner basado en patrones nunca relacionaría, ya que ninguna línea por sí sola activa una regla. Code Audit rastrea la referencia, sigue la comprobación de autorización que falta en su contexto y pone de manifiesto la ruta completa de explotación.
El mismo concepto se aplica a otras vulnerabilidades basadas en la lógica, como un patrón ReDoS identificado en el código fuente sin que se haya producido una explotación real, o una ruta de acceso exclusiva para administradores que nunca se haya probado en una prueba de penetración real porque nadie disponía de credenciales válidas. Seguro que se te ocurren otros ejemplos.
.jpg)
Dado que Code Audit trabaja con tu código fuente, no necesitas un entorno de pruebas activo ni crear credenciales de autenticación. Solo tienes que conectar tu código y poner en marcha una auditoría. Si el código existe en el código fuente, entra dentro del ámbito de la auditoría: varios repositorios, rutas con indicadores de características, cambios no implementados y rutas de administración a las que las pruebas en producción no pueden acceder de forma segura.
No se limita a tu aplicación web
Dado que Code Audit analiza el código fuente de forma estática, en lugar de realizar pruebas en un entorno en producción, no está limitado por la cobertura SAST ni por la plataforma en la que se ejecute el código.
Esto significa que puedes probar:
- Las aplicaciones móviles, en las que no hay ninguna URL a la que acceder ni una forma sencilla de probar las rutas de ejecución del código en una versión en producción.
- Los contratos inteligentes, en los que es mejor evitar activamente intentar explotar un contrato desplegado que contenga valor real bloqueado.
- Códigos heredados en lenguajes con SAST limitada.
Análisis comparativo
Según nuestras pruebas internas y los comentarios de los primeros usuarios, Code Audit cubre aproximadamente entre el 70 % y el 80 % de lo que detecta una prueba de penetración completa, a un coste unas 10 veces inferior. Los primeros usuarios han detectado una media de unos 25 problemas de seguridad por código base, y ninguna auditoría ha dado resultado «limpio».
Sin embargo, el número de problemas detectados es secundario respecto al momento en que se detectan. Detectar una vulnerabilidad antes del lanzamiento solo supone un cambio en el código, mientras el desarrollador aún tiene presente el contexto. Detectarla después de que haya llegado a producción probablemente suponga un ciclo de corrección y tener que desviar a un desarrollador de otro proyecto para solucionarla. La auditoría de código adelanta la detección al momento previo al lanzamiento del código, cuando el desarrollador que ha trabajado en él aún conoce todo el contexto y la corrección resulta sencilla.
Cómo empezar
Desde tu cuenta de Aikido, selecciona «Auditoría de código » en el menú y haz clic en «Crear auditoría». A continuación, selecciona uno o varios repositorios y Aikido calculará el coste en créditos. Añade créditos a tu cuenta e inicia la auditoría. La configuración solo lleva unos minutos y las auditorías pueden durar tan solo 5 minutos, dependiendo del tamaño y la complejidad de tu código.
Realiza tu primera auditoría de código.
