RedAI: KI-Agents für verifizierte Schwachstellensuche

Avatar von Robin Böhm
· Published on 08.05.2026

TL;DR: RedAI ist ein neues Open-Source-Terminal-Tool, das KI-Agents nicht nur zum Aufspüren, sondern auch zur Live-Validierung echter Sicherheitslücken einsetzt – ein konzeptioneller Sprung gegenüber klassischen Static-Analysis-Tools.

Das GitHub-Repository kpolley/redai veröffentlichte im April 2026 ein Werkzeug, das die Schwachstellenanalyse von Codebasen neu denkt. Statt lediglich verdächtigen Code zu flaggen, schickt RedAI nach dem ersten Scan-Durchlauf eine zweite Klasse von Agents in eine laufende Instanz der Zielanwendung – um jeden Befund entweder zu bestätigen, zu widerlegen oder als nicht testbar einzustufen. Das Ergebnis ist ein Bericht mit verifizierten Findings, Reproduktionsschritten und tatsächlichen Beweisen wie Screenshots, HTTP-Transkripten und Proof-of-Concept-Skripten.

Was ist neu?

RedAI arbeitet mit einer klaren Arbeitsteilung zwischen zwei Agent-Typen: Scanner-Agents analysieren den Quellcode, priorisieren Dateien nach Sicherheitsrelevanz und produzieren Kandidaten-Befunde. Validator-Agents greifen diese auf und interagieren aktiv mit einer laufenden Umgebung – sie klicken durch UIs, senden HTTP-Requests, schreiben eigene PoC-Skripte und dokumentieren alles. Als Scanner werden Claude (Anthropic) oder Codex SDK unterstützt; als Validator-Umgebungen liefert das Projekt zwei fertige Plugins: einen echten Chrome-Browser und einen iOS-Simulator.

Die Architektur ist Plugin-basiert: Wer andere Ziele validieren möchte – Linux-VMs, Android-Emulatoren, Kubernetes-Cluster – implementiert ein definiertes Interface und hängt es ein. RedAI läuft als terminalbasierte Anwendung und ist unter MIT-Lizenz verfügbar. Die Installation erfolgt über das GitHub-Repository.

Was bedeutet das für Teams und Tech Leads?

Für Unternehmen ist die konzeptionelle Verschiebung relevant: Bisherige SAST-Werkzeuge liefern Verdachtsmomente, keine Beweise. Ein Tool, das Befunde automatisiert in einer echten Laufzeitumgebung verifiziert, könnte den manuellen Aufwand in Pentesting- und Security-Review-Prozessen spürbar reduzieren – insbesondere in CI/CD-Pipelines, wo schnelle Rückmeldung über exploitierbare Schwachstellen entscheidend ist. Gleichzeitig gilt: RedAI befindet sich in einer frühen Phase, und das Projekt selbst betont, dass Agent-Output fehlerhaft sein kann und menschliche Überprüfung der Befunde zwingend notwendig bleibt. Die Tool-Kategorie „agentenbasierte Sicherheitsautomatisierung” gewinnt 2026 deutlich an Fahrt – RedAI ist ein früher, klar strukturierter Open-Source-Vertreter davon.

Avatar von Robin Böhm
Written by
Robin Böhm

Hey! Ich bin Robin Böhm – Software-Enthusiast, Berater und Autor mit Leidenschaft für JavaScript, Web und KI. Schon seit Jahren bin ich im KI-Universum unterwegs – erst an der Uni, dann immer wieder mit spannenden Prototypen im Job. Jetzt, wo KI endlich für alle zugänglich ist, brennt mein Herz dafür dieses Wissen Menschen zugänglich zu erklären! Es macht mir Spaß zu zeigen, wie man mit cleveren Agenten-Systemen den Alltag vereinfachen und langweilige Tasks automatisieren kann. Übrigens: Ich habe das erste deutsche Angular-Buch verfasst und bin Mitgründer von Angular.DE sowie Gründer von Workshops.DE. Lust auf Beratung, Coaching oder einen Workshop zu JavaScript, Angular oder KI-Integrationen? Schreib mir einfach! 😊

Passende Schulungen zu diesem Thema

Cybersecurity Schulungen
Cybersecurity
Schulungen
From knowledge to success.
Start your training now!
View Courses
"The trainers are absolute professionals and convey their enthusiasm for the topic. Our employees benefit from intensive, hands-on trainings tailored to their needs. The feedback has been outstanding."
Annika Stille, Head of Internal Training at adesso SE
Annika Stille
Head of Internal Training, adesso SE