De un vistazo
- Realiza pentests de IA bajo demanda para cumplir con los plazos de clientes y auditorías
- Combina pentesting de IA con pentests manuales para mayor velocidad y profundidad
- Utiliza pruebas de caja blanca para reducir falsos positivos y mejorar la credibilidad
- Entrega informes de pentest listos para el cliente sin esperar semanas
- Integra Aikido en CI/CD e infraestructura para una cobertura continua
Desafío.
Para Sunhat, la seguridad no es una casilla de verificación interna. Es parte de la promesa del producto. Sunhat construye una AI-powered Collaborative Proof Platform que ayuda a los equipos de sostenibilidad y cumplimiento empresarial a demostrar confianza y cumplimiento a sus propios clientes, socios y reguladores.
Esto hace que la postura de seguridad de Sunhat esté directamente ligada a los ingresos, la reputación y la velocidad de los acuerdos. Sunhat vende a grandes empresas, a menudo multinacionales, con altas expectativas de seguridad.
Los clientes suelen solicitar pruebas de pentest antes de seguir adelante.
«Sí, los clientes nos piden directamente pruebas de pentest. Y, sinceramente, yo haría lo mismo en su posición.»
Ali, cofundador y CTO de Sunhat
El pentesting manual ya formaba parte del programa de seguridad de Sunhat. Pero venía con un problema conocido: el tiempo.
Los pentests tardan semanas en programarse y ejecutarse. Los informes envejecen rápidamente. Y durante los ciclos de venta o las auditorías, la presión del tiempo puede convertir la validación de seguridad en un cuello de botella.
«Algunas empresas no están satisfechas con un informe de hace unos meses», explicó Ali.
Sunhat quería una forma de proporcionar pruebas de seguridad frescas y creíbles bajo demanda, sin comprometer la calidad.
Por qué Sunhat recurrió al pentesting de IA
Sunhat ya utilizaba Aikido como parte de su ciclo de vida de desarrollo seguro cuando el pentesting de IA estuvo disponible.
«Cuando descubrimos que Aikido ahora ofrece pentesting basado en IA, sentí bastante curiosidad por probarlo», dijo Ali. «Estaba especialmente interesado en compararlo con el pentesting manual, que habíamos realizado anteriormente».
El objetivo no era reemplazar los pentests manuales.
«Tanto el pentesting de IA como el pentesting manual tienen su lugar, por eso hacemos ambos», afirmó Ali.
En cambio, Sunhat vio el pentesting de IA como una forma de añadir velocidad, flexibilidad y realismo a su proceso de validación de seguridad.
«Para mí, así es como deberían funcionar el pentesting y las pruebas de seguridad en la era actual», añadió.
Ejecutando el pentest de IA
Empezar con el pentesting de IA requirió pocas complicaciones.
«Fue sencillo empezar a usar Aikido Attack por nuestra cuenta. A los ingenieros les encanta cuando no tienen que sortear obstáculos innecesarios».
Sunhat realiza pentests de IA de caja blanca para maximizar la validez y la relevancia. Los agentes de IA tienen acceso al contexto del código fuente, lo que les permite centrarse en un comportamiento de ataque realista en lugar de un escaneo superficial.
«Realizamos pentests de caja blanca, ya que proporcionan una mayor validez. Ver los registros y cómo se comportan los agentes de IA nos da más confianza en que intentan cubrir tanto como sea posible».
Lo más importante es que los pentests de IA pueden activarse cuando sea necesario.
«Activar un pentest de IA es ahora cuestión de minutos, lo que los hace extremadamente útiles en situaciones con plazos ajustados».
Lo que el pentest de IA aportó
Sunhat no realiza pentests solo para cumplir un requisito.
«Hacemos pentesting no para engañarnos a nosotros mismos, sino para encontrar problemas antes de que lo hagan los actores maliciosos», dijo Ali.
En un pentest de IA, Aikido identificó una vulnerabilidad en el proceso de generación de exportación de PDF de Sunhat.
Sunhat uses a browser-as-a-service provider to launch headless Chromium instances for PDF generation. While the team had sanitized content such as the <head> element and tightly controlled allowed HTML elements, the implementation still permitted certain active elements like <iframe> and <img>.
Aikido determinó que esos elementos podían desencadenar solicitudes HTTP salientes durante la generación de PDF, lo que podría permitir la falsificación de solicitudes del lado del servidor (SSRF) y la inclusión de respuestas en el documento generado.
No se trataba de una mala configuración superficial. Se originaba en cómo el flujo de generación de PDF interactuaba con el comportamiento del navegador.
Para mitigar el problema, Sunhat:
- Desactivó la ejecución de JavaScript en Puppeteer durante la generación de PDF
- Bloqueó las solicitudes de red externas mediante la intercepción de solicitudes
Después de implementar la solución, Sunhat activó una nueva prueba.
«Que los agentes de IA confirmen las mejoras después de desplegar las correcciones por nuestra parte es muy tranquilizador».
Aikido reconoció la mitigación como efectiva durante la nueva prueba, confirmando que el vector SSRF se había cerrado.
«Hasta ahora, no hemos encontrado falsos positivos», añadió Ali. «Parece que los agentes de IA utilizan bien el contexto proporcionado por nuestro código fuente».
Más allá del pentesting: Aikido como plataforma de seguridad
Aunque el pentesting de IA es una capacidad crítica, Sunhat utiliza Aikido como una plataforma de seguridad más amplia.
Aikido se ejecuta continuamente en pull requests y escaneos de infraestructura programados, alineándose con la cultura de ingeniería de Sunhat que prioriza la automatización.
“En Sunhat creemos firmemente en la automatización, y sentimos que Aikido encaja perfectamente”, dijo Ali.
La orientación para la remediación es práctica y consciente del contexto, especialmente en escenarios de caja blanca.
“Dado que realizamos pentests de caja blanca, los pasos de remediación nos parecen precisos. A nadie le gusta un consejo genérico que no se le aplica.”
Esta combinación de cobertura continua y pentesting bajo demanda permite a Sunhat adelantarse tanto al riesgo de seguridad como a las expectativas del cliente.
Resultados
Para Sunhat, el impacto del pentesting de IA se mide mejor en velocidad, confianza y credibilidad. El pentesting de IA permite a Sunhat:
- Responder rápidamente a las solicitudes de seguridad de clientes y auditorías
- Proporcionar informes de pentest actualizados y listos para el cliente sin largos plazos de entrega
- Validar correcciones rápidamente mediante retesting automatizado
- Trate la seguridad como una capacidad continua en lugar de como un ejercicio puntual.
“De manera similar a cómo nuestros clientes deben proporcionar pruebas verificables a sus partes interesadas, nosotros queremos proporcionar pruebas actualizadas sobre nuestra postura de seguridad para demostrar que somos un socio comercial fiable”, dijo Ali.
