Aikido

Aikido 是什么？

Aikido 为从 Lovable 构建并部署的在线应用提供渗透测试。在 Lovable 内部，它针对运行中的应用执行安全测试，模拟真实攻击者行为，并识别代码审查或静态扫描无法发现的问题。

其核心目的是帮助开发者在真实条件下验证安全态势——测试端点对意外输入的响应、访问控制在用户流程中的有效性，以及链式弱点是否可被利用——然后返回团队可复现和修复的可执行发现。

主要特性

• 针对在线 Lovable 应用的基于智能体的渗透测试：Aikido 部署一群专用智能体，对运行中的应用进行探测和测试。
• 真实攻击模拟：智能体尝试登录探测、访问其他用户数据、测试 API 等操作，并根据应用响应进行适应。
• 链式多步骤利用推理：智能体分析应用行为，寻找多步骤攻击路径，而非仅限于单一配置错误。
• 利用验证的发现：测试通过真实利用进行验证，以区分实际可利用的问题。
• 通俗语言结果，含复现和修复步骤：发现以清晰语言解释，并提供逐步复现和修复说明。
• Lovable 一键修复：审阅发现后，Lovable 提供“Try Fix All”按钮应用修复，由智能体执行工作。

如何使用 Aikido

1. 打开 Lovable 项目，通过 Settings > Connectors > Shared Connectors 启用 Aikido。
2. 转到项目安全选项卡 并启动渗透测试。
3. 使用 Aikido 账户登录 并启动安全测试。
4. 实时监控测试（包括智能体活动，如 POC/利用行为和推理，如 Lovable/Aikido 中所示）。
5. 在 Aikido 或直接在 Lovable 中审阅渗透测试发现。
6. 使用 Lovable 的“Try Fix All”选项修复并发布，然后发布更新后的安全版本。

使用场景

• 发布 Lovable 应用前：使用 Aikido 端到端测试运行中的应用（登录、端点和 API 行为），捕捉静态检查可能遗漏的问题。
• 验证用户流程中的访问控制：运行渗透测试，检查智能体通过真实交互模式尝试访问其他用户数据时，权限和访问控制是否一致。
• 评估端点级输入处理：识别意外输入引发的可利用行为，并了解应用在敌对尝试下的响应。
• 将安全审查转为可执行修复：将发现转换为逐步复现和修复指导，然后使用 Lovable 一键修复流程应用变更。
• 早期增长期间回答安全问卷：使用生成的渗透测试报告作为尽职调查或企业安全审查过程中的共享证据。

常见问题

Aikido 在哪里运行渗透测试？

Aikido 在 Lovable 内部针对您的在线应用运行，部署智能体在真实运行条件下测试应用。

Aikido 与 Lovable 的 Security Scanner 有何不同？

Lovable 的 Security Scanner 在发布前捕获暴露密钥、数据库策略配置错误和常见漏洞等问题。Aikido 是互补的，因为它测试运行中的在线应用，展示黑客通过链式多步骤行为实际能做什么。

测试完成后会得到什么？

您将收到一份报告，每项发现以通俗语言解释，包括其重要性以及复现和修复问题的逐步说明。

可以无需手动修补就应用修复吗？

页面描述使用 Lovable 的 “Try Fix All” 按钮，之后智能体执行修复工作，然后您可以发布。

需要先在 Lovable 中启用什么吗？

是的。您必须在 Lovable 的 Settings > Connectors > Shared Connectors 下启用 Aikido，然后使用项目的 security tab 启动渗透测试。

替代方案

• 自动化漏洞扫描（静态/CI 安全扫描器）：这些工具关注代码、配置或已知漏洞模式，通常无法像实时渗透测试那样验证运行中应用的漏洞可利用性。
• 手动或顾问主导的渗透测试：传统渗透测试由安全专业人员执行，可能需要更多时间和规划；其工作流程不同于 Lovable 中的基于智能体的测试。
• 持续安全测试和监控：这种方法强调持续检测和运行时信号，而不是专属渗透测试会话，可作为补充，但无法取代发布准备期间测试真实利用路径的需求。
• 威胁建模和代码审查安全实践：这些实践有助于在开发早期识别风险，但无法在真实条件下模拟攻击者对运行系统的行为。