随着 API 优先架构的扩展,传统应用程序安全工具的局限性变得越来越明显。 DAST 等动态扫描仪长期以来一直构成自动化测试的基础,而手动渗透测试则提供了急需的深度。前者只能检测经典的技术漏洞,后者无法跟上现代环境的规模。在这两种方法之间,已经为基于代理人工智能的新型自动化创造了空间,能够再现人类推理,同时支持工业量的分析。
虽然大公司现在在不断更新的环境中运行数百个甚至数千个 API,但漏洞会立即被利用,并且偶尔依靠手动测试已不足以维持不断变化的攻击面的操作可见性。在此背景下,Equixly 等参与者寻求将逻辑理解、可扩展性和测试连续性结合起来。
该方法包括将渗透测试的重心移向上下文分析逻辑。 Equixly 开发的代理可以重建应用程序流程并模拟接近经验丰富的攻击者的行为。一旦集成到 CI/CD 管道中,这些代理就能识别传统扫描程序遗漏的漏洞,特别是与业务逻辑或未记录端点相关的漏洞。目的是使手动审核的深度更接近产品团队的部署率。
对于 Equixly 联合创始人兼首席执行官 Mattia Dalla Piazza 来说,挑战在于公司是否有能力调整其实践以适应数字系统转型的步伐。他就这个问题宣称 “企业不能再依赖静态或临时测试来保护其系统,这些系统为数百万客户提供服务,现在支持整个全球市场。随着新法规的到来和 API 的快速增长,对自主安全的需求将变得更加重要。Equixly 使高级安全测试持续、自主且可供所有开发和安全团队访问。得益于完全内部开发的代理基础设施和模型,团队可以在所需的规模上受益于与人类专家相当的推理水平。通过现代软件,同时保持对数据的最大控制并保护机密性。
这一发展也反映了对 API 相关事件增加的反应。现在,很大一部分攻击都针对暴露的端点,包括公司不再识别或识别为关键的端点。在这种情况下,自动化超越了简单的生产力优化,成为保持某种形式的操作清晰度的条件。
33N Ventures 的 Goncalo Borges 讨论了这一转变:“Equixly 在人工智能转变开发、API 定义基础设施的背景下构建了现代软件的安全层。其解决方案通过提供可扩展、上下文相关和实时的方法来加强应用程序安全团队的工作,同时识别传统供应商通常无法检测到的漏洞。该团队的定位是引领欧洲网络安全创新者,并成为下一代应用程序安全的全球领导者。”
人工智能优先使用的兴起也增加了这些环境的压力。生成模型生成代码、生成自动代理并引入新的 API 依赖项。这一运动增加了复杂性并增加了展览面积。公司必须将安全作为技术周期的一个组成部分,并且在开发和保护之间不间断。
后DAST时代的到来正在逐渐形成;如果它不取代历史方法,它会围绕连续和情境化分析的能力重新阐明它们,其中人工智能代理构成了深度理解和工业步伐之间的平衡点。
Equixly 由 Mattia 和 Alessio Dalla Piazza 于 2022 年在维罗纳创立,开发基于专有 AI 代理的 API 安全平台。该公司宣布获得 1000 万欧元 A 轮融资,投资方包括 33N Ventures、Alpha Intelligence Capital、JME Ventures、360 Capital 和 Fondazione Cassa di Risparmio di Firenze。这项行动应该为加强团队以及在英国开设商业机构提供资金。
