Produkt

Wie Venedy arbeitet.

Venedy findet zuerst Ihren echten API-Bestand, schickt dann eine KI gegen ihn, die Angriffe plant und über mehrere Identitäten verkettet, und lässt bei jedem strittigen Befund vier Agenten gegeneinander antreten. Was übrig bleibt, ist ein belegbarer Befund, kein Alarm.

Der Ablauf

Von der unbekannten API zum belegten Befund.

Sechs Schritte, jeder protokolliert. Sie sehen nicht nur das Ergebnis, sondern den Weg dorthin.

Discovery

API-Bestand sichtbar machen.

Venedy führt gefundene APIs, Endpunkte und Quellen in einer Oberfläche zusammen. So werden Schatten-, undokumentierte und verwaiste APIs sichtbar, bevor daraus Risiken werden.

app.venedy.io / discovery
Venedy Discovery-Ansicht mit gefundenen APIs und Endpunkten
Anwendungskontext

Risiken Ihrer Anwendung zuordnen.

Anwendungen, APIs und Verantwortlichkeiten gehören zusammen. Venedy zeigt diesen Kontext, damit Befunde nicht isoliert im Scanner landen, sondern beim richtigen Team.

app.venedy.io / applications
Venedy Applications-Ansicht mit verwalteten Anwendungen und API-Kontext

Discovery

Venedy korreliert Code-Repositories, Infrastruktur und Gateways, Doku und Asset-Register zu Ihrem vollständigen API-Bestand, inklusive Schatten-, undokumentierter und Orphan-APIs.

Planung

Die KI formuliert Angriffshypothesen pro Endpunkt und plant Sequenzen, die sich über mehrere Identitäten und Schritte erstrecken, nicht nur Einzelanfragen.

Angriff

Die geplanten Sequenzen werden tatsächlich ausgeführt: anlegen als Nutzer A, zugreifen als Nutzer B. Logik- und Berechtigungsfehler werden so real reproduziert.

Debatte

Bei jedem strittigen Fund treten vier Agenten an: Angreifer behauptet, Verteidiger widerlegt, Richter entscheidet, Reporter dokumentiert.

Urteil

Eine deterministische Engine entscheidet über Ausnutzbarkeit und Schweregrad, an festen Schwellen, mit Fehlalarm-Schutz, reproduzierbar bei jedem Lauf.

Report

Jeder Befund kommt mit Protokoll, rohem HTTP-Beweis, OWASP-Bezug und Einordnung zu DORA und NIS2, exportierbar als Audit-Nachweis.

Die vier Agenten

Eine Debatte, kein Bauchgefühl.

Ein einzelnes KI-Urteil ist nicht überprüfbar. Vier spezialisierte Agenten machen jeden Schritt nachvollziehbar.

agent 01
Angreifer attacker

Formuliert Angriffshypothesen und baut Exploit-Sequenzen, etwa Zugriff auf fremde Bestelldaten über manipulierte IDs.

agent 02
Verteidiger defender

Sucht Gegenbeweise (Auth-Checks, Scopes, Ownership) und versucht, die Hypothese zu entkräften.

agent 03
Richter judge

Wägt beide Seiten ab und entscheidet über Ausnutzbarkeit und Schweregrad, ohne False-Positive-Rauschen.

agent 04
Reporter formatter

Überführt das Urteil in einen strukturierten, nachvollziehbaren Befund, mit Schweregrad, OWASP-Bezug und Empfehlung.

Die KI denkt, plant, greift an und nutzt aus. Eine deterministische Engine macht jeden Befund reproduzierbar und beweisbar: feste Schwellen, Fehlalarm-Schutz, vollständiges Protokoll.

Was Venedy findet

Die Lücken, die Pattern-Scanner übersehen.

Signatur-Scanner prüfen bekannte Muster. Venedy prüft die Logik dahinter, gegen die komplette OWASP API Security Top 10.

BOLA & Objektzugriff

Broken Object Level Authorization, das Top-OWASP-API-Risiko: Zugriff auf fremde Datensätze über manipulierte IDs.

Funktions- & Property-Ebene

BFLA und BOPLA: unautorisierter Zugriff auf Funktionen oder einzelne Objekt-Eigenschaften jenseits der eigenen Rolle.

Mehrstufige Angriffsketten

Verkettete Schritte über mehrere Identitäten, die einzelne Anfragen unauffällig aussehen lassen, in Summe aber ausnutzbar sind.

Schatten- & Orphan-APIs

Produktive, aber nicht dokumentierte Endpunkte und Altlasten, die in keinem Register stehen und niemand mehr prüft.

OWASP API Top 10

Geprüft wird gegen die komplette Liste, von kaputter Authentifizierung bis unsicherem API-Konsum.

Belegbarer Befund

Kein „könnte ein Problem sein": jeder Fund kommt mit Reproduktionsschritten und rohem HTTP-Beweis.

Beweis & Compliance

Jeder Befund bringt sein Protokoll mit.

Wer was entschieden hat und warum, belegbar, heute wie im Audit. Aus demselben Protokoll entsteht der Compliance-Nachweis.

Dashboard

Ein Lagebild für Security und Audit.

Das Dashboard zeigt API-Bestand, Discovery-Status und priorisierte Sicherheitsarbeit auf einen Blick, damit Teams wissen, was zuerst zählt.

app.venedy.io / dashboard
Venedy Dashboard mit Sicherheitsübersicht, Risikoindikatoren und Befundstatus
 VenedySignatur-Scanner
Logik- & Berechtigungsfehlerverifiziertmeist blind
Belegbarer Befundvolles ProtokollScore ohne Beweis
False-Positive-SchutzRichter-InstanzAlarmlawine
Reproduzierbarkeitdeterministischje nach Lauf
DORA / NIS2 Bezugje Befund eingeordnetnicht fokussiert
DatenstandortDeutschland / EUoft US-Cloud
FAQ

Häufige Fragen

Ist Venedy DSGVO-konform?

Ja. Venedy verarbeitet und speichert Daten ausschließlich in deutschen Rechenzentren. KI-Anfragen laufen zustandslos an einen EU-Provider, und Secrets werden vor der Verarbeitung maskiert.

Wo werden die Daten gehostet?

Ausschließlich in der EU, in deutschen Rechenzentren (STACKIT). Die KI-Verarbeitung läuft über einen europäischen Anbieter (Mistral), nicht über US-Hyperscaler.

Was unterscheidet Venedy von klassischen Scannern?

Venedy testet Logik- und Berechtigungsfehler aktiv, statt nur Muster zu erkennen, und liefert je Befund ein nachvollziehbares Protokoll: welcher Agent was entschieden hat und warum. Keine Black Box.

Was kostet Venedy?

Der Einstieg beginnt bei rund 625 Euro pro Monat. Aktuell sucht Venedy Design Partner, für die vorteilhafte Konditionen gelten.

Sehen Sie Venedy an Ihrer eigenen API.

Als Design Partner prüfen wir gemeinsam einen realen Ausschnitt Ihrer APIs, mit vollem Protokoll.

Design Partner werden