RedAI: KI-Agents für verifizierte Schwachstellensuche
TL;DR: RedAI ist ein neues Open-Source-Terminal-Tool, das KI-Agents nicht nur zum Aufspüren, sondern auch zur Live-Validierung echter Sicherheitslücken einsetzt – ein konzeptioneller Sprung gegenüber klassischen Static-Analysis-Tools.
Das GitHub-Repository kpolley/redai veröffentlichte im April 2026 ein Werkzeug, das die Schwachstellenanalyse von Codebasen neu denkt. Statt lediglich verdächtigen Code zu flaggen, schickt RedAI nach dem ersten Scan-Durchlauf eine zweite Klasse von Agents in eine laufende Instanz der Zielanwendung – um jeden Befund entweder zu bestätigen, zu widerlegen oder als nicht testbar einzustufen. Das Ergebnis ist ein Bericht mit verifizierten Findings, Reproduktionsschritten und tatsächlichen Beweisen wie Screenshots, HTTP-Transkripten und Proof-of-Concept-Skripten.
Was ist neu?
RedAI arbeitet mit einer klaren Arbeitsteilung zwischen zwei Agent-Typen: Scanner-Agents analysieren den Quellcode, priorisieren Dateien nach Sicherheitsrelevanz und produzieren Kandidaten-Befunde. Validator-Agents greifen diese auf und interagieren aktiv mit einer laufenden Umgebung – sie klicken durch UIs, senden HTTP-Requests, schreiben eigene PoC-Skripte und dokumentieren alles. Als Scanner werden Claude (Anthropic) oder Codex SDK unterstützt; als Validator-Umgebungen liefert das Projekt zwei fertige Plugins: einen echten Chrome-Browser und einen iOS-Simulator.
Die Architektur ist Plugin-basiert: Wer andere Ziele validieren möchte – Linux-VMs, Android-Emulatoren, Kubernetes-Cluster – implementiert ein definiertes Interface und hängt es ein. RedAI läuft als terminalbasierte Anwendung und ist unter MIT-Lizenz verfügbar. Die Installation erfolgt über das GitHub-Repository.
Was bedeutet das für Teams und Tech Leads?
Für Unternehmen ist die konzeptionelle Verschiebung relevant: Bisherige SAST-Werkzeuge liefern Verdachtsmomente, keine Beweise. Ein Tool, das Befunde automatisiert in einer echten Laufzeitumgebung verifiziert, könnte den manuellen Aufwand in Pentesting- und Security-Review-Prozessen spürbar reduzieren – insbesondere in CI/CD-Pipelines, wo schnelle Rückmeldung über exploitierbare Schwachstellen entscheidend ist. Gleichzeitig gilt: RedAI befindet sich in einer frühen Phase, und das Projekt selbst betont, dass Agent-Output fehlerhaft sein kann und menschliche Überprüfung der Befunde zwingend notwendig bleibt. Die Tool-Kategorie „agentenbasierte Sicherheitsautomatisierung” gewinnt 2026 deutlich an Fahrt – RedAI ist ein früher, klar strukturierter Open-Source-Vertreter davon.
