Aikido

Aikido 是什麼？

Aikido 為從 Lovable 建置與部署的線上應用提供滲透測試。在 Lovable 內，它會對執行中的應用執行安全性測試，模擬真實攻擊者行為，並找出單靠程式碼審查或靜態掃描無法發現的問題。

其核心目的是幫助開發者在真實環境下驗證安全性態勢—測試端點如何處理意外輸入、存取控制在使用者流程中是否維持有效，以及連鎖弱點是否可被利用—然後回傳團隊可重現與修復的可操作發現。

主要功能

• 針對線上 Lovable 應用執行代理式滲透測試：Aikido 部署一群專門代理，探測並測試執行中的應用。
• 真實攻擊模擬：代理嘗試如探測登入、存取他人資料、測試 API 等動作，並根據應用回應進行調整。
• 連鎖多步驟漏洞推理：代理分析應用行為，尋找多步驟攻擊路徑，而非僅單一設定錯誤。
• 經利用驗證的發現：測試包含真實利用驗證，以區分真正可被利用的問題。
• 使用白話解釋結果，含重現與修復步驟：發現以清楚語言說明，並提供逐步重現與修復指示。
• Lovable 一鍵修復：審核發現後，Lovable 提供「Try Fix All」按鈕套用修復，由代理處理工作。

如何使用 Aikido

1. 開啟 Lovable 專案，透過 Settings > Connectors > Shared Connectors 啟用 Aikido。
2. 前往專案安全性分頁 並啟動滲透測試。
3. 使用 Aikido 帳戶登入 並開始安全性測試。
4. 即時監控測試（包含代理活動如 POC/利用行為與推理，如 Lovable/Aikido 所示）。
5. 在 Aikido 或直接於 Lovable 檢視滲透測試發現。
6. 使用 Lovable 的「Try Fix All」選項修復並發佈，接著以更新安全性發佈。

使用情境

• 發佈 Lovable 應用前：使用 Aikido 端到端測試執行中應用（登入、端點與 API 行為），找出靜態檢查無法發現的問題。
• 驗證使用者流程中的存取控制：執行滲透測試，查看代理透過真實互動模式嘗試存取他人資料時，權限與存取控制是否一致。
• 評估端點層級輸入處理：找出意外輸入引發的可利用行為，並了解應用在惡意嘗試下的回應。
• 將安全性審查轉為可操作修復：將發現轉為逐步重現與修復指引，然後使用 Lovable 一鍵修復流程套用變更。
• 早期成長期間回應安全性問卷：使用滲透測試報告作為盡職調查或企業安全性審查的證據分享。

常見問題

Aikido 在哪裡執行滲透測試？

Aikido 在 Lovable 內針對您的 線上應用 執行，部署代理在真實執行條件下測試應用。

Aikido 與 Lovable 的 Security Scanner 有何不同？

Lovable 的 Security Scanner 在發佈前捕捉如暴露密碼、資料庫政策設定錯誤及常見漏洞等問題。Aikido 是互補工具，因為它測試 線上執行中的應用，顯示駭客透過連鎖多步驟行為實際能做什麼。

測試完成後會得到什麼？

您會收到報告，每項發現以白話說明其重要性，並提供逐步重現與修復指示。

可以不需手動修補就套用修復嗎？

頁面描述使用 Lovable 的 「Try Fix All」 按鈕，之後代理執行修復工作，您即可發佈。

需要先在 Lovable 啟用什麼嗎？

是的。您必須在 Lovable 的 Settings > Connectors > Shared Connectors 啟用 Aikido，然後使用專案的 security tab 啟動滲透測試。

替代方案

• 自動化漏洞掃描（靜態/CI 安全掃描器）：這些專注於程式碼、設定或已知漏洞模式，通常不會像即時滲透測試那樣驗證運行中應用程式的可利用性。
• 手動或顧問主導的滲透測試：傳統滲透測試由安全專業人士執行，可能需要更多時間與規劃；其工作流程與 Lovable 內的代理式測試不同。
• 持續安全測試與監控：這類方法強調持續偵測與運行時訊號，而非專屬滲透測試工作階段，可作為補充但無法取代發行準備時測試真實利用路徑的需求。
• 威脅建模與程式碼審查安全實務：這些有助於在開發早期識別風險，但無法必然重現攻擊者對運行中系統的真實條件行為。