# Hvorfor vi valgte Aikido som vår eneste pentest-leverandør

> Vi kjører hver pentest gjennom Aikido AI Pentest, fordi den årlige manuelle rapporten havner i en skuff mens applikasjonen ruller ut igjen uken etter.

Source: https://fmcybersecurity.com/insights/appsec/hvorfor-vi-valgte-aikido/
Locale: Norwegian (nb-NO)
Other locale: https://fmcybersecurity.com/en/insights/appsec/why-aikido-is-our-only-pentest-provider/

## Metadata

- Date: 2026-04-29
- Author: christian-vik
- Topic: appsec
- Format: article
- Partner: aikido

Vi tilbyr ikke manuell pentest, og det skal vi heller ikke gjøre. Hver pentest FM CyberSecurity leverer går gjennom [Aikido AI Pentest](/partners/aikido/), og denne artikkelen forklarer hvorfor. Kortversjonen lyder slik: den årlige manuelle rapporten havner i en skuff, samtidig som applikasjonen ruller ut igjen uken etter. Vi valgte en AI-drevet leveransemodell fordi mønsteret rundt ritualet var ødelagt, ikke fordi det menneskelige arbeidet var dårlig.

Gjennom appsikkerhets- og compliance-oppdragene jeg har rådgitt i år, er kjøperen jeg møter oftest en CISO eller CFO som sitter med et tilbud på mellom £20 000 og £50 000 for en årlig pentest av en webapplikasjon, ofte mer når flere applikasjoner inngår i scope. Tilbudet dekker to til tre uker konsulenttid, en skriftlig rapport og en ny test etter utbedring. I én anonymisert samtale med et norsk programvareforetak som var ute etter ISO 27001-sertifisering for å vinne et stort anbud, stilte kjøperen det eneste spørsmålet som teller. Vil denne rapporten fortsatt være sann i november når vi ruller ut neste release. Vi visste begge svaret.

Dette gapet er grunnen til at FM CyberSecurity har det standpunktet vi har på pentest. Av samme grunn leverer vi heller ikke en enkeltstående punktvis rapport, uansett hvem som spør.

![Aikido-logo og AI Pentest, FM CyberSecurity](../../../assets/news/why-aikido-is-our-only-pentest-provider-inline.png)

## Det årlige pentest-mønsteret

Når et norsk lite eller mellomstort foretak bestemmer seg for å ta appsikkerhet på alvor, er første grep som regel å bestille en manuell pentest én gang i året. Revisor spør etter en pentest, kunden spør etter en pentest, kontraktsklausulen sier pentest, og dermed kjøper du en pentest. Resultatet er en PDF med funn sortert etter alvorlighetsgrad, datostemplet samme dag som oppdraget ble avsluttet.

Selve arbeidet skaper sjelden problemer. Seniorkonsulenter som kjører manuelle pentester vet hva de driver med, og innenfor sitt scope finner de reelle sårbarheter. Mønsteret rundt arbeidet er det som kommer til kort. I et anonymisert rådgivningsoppdrag dette kvartalet hadde foretaket en ren pentest-rapport fra mars, en release i april som rørte autentiseringsflyten, og en andre release i mai som la til et kunde-API. Mars-rapporten dekket ingen av delene.

Den ærlige måten å si det på er ikke at konsulenten gjorde en dårlig jobb. Konsulenten tok et bilde av et objekt i bevegelse. En pentest-rapport er sann den dagen den skrives. Innen tredje release har du ikke lenger en pentest-rapport. Du sitter igjen med minnet om en.

## Det folk vanligvis antar

Den vanlige antakelsen sier at flere konsulentdager gir mer sikkerhet. To uker er bedre enn én, en seniortester bedre enn en junior, et bredt scope bedre enn et smalt. Kjøpere spør om dagsrater, total oppdragslengde og senioriteten på teamet, og veier svaret mot budsjettet.

Regnestykket er intuitivt, og nettopp her brekker modellen. Variabelen som teller er ikke hvor mange dager et menneske bruker på applikasjonen i året. Den avgjørende variabelen er hvor ofte applikasjonen testes mot den versjonen av seg selv som står i produksjon. En manuell pentest på 15 dager kjørt én gang i året tester applikasjonen slik den sto dag én av oppdraget. Hver commit etter det forblir utestet helt til neste årlige syklus.

For et foretak som ruller ut ukentlig, dekker rapporten omtrent to prosent av årets produksjonskode. Dette rammer ikke testeren, men leveransemodellen.

## Hvorfor årlige pentester blir gamle fort

Tre forhold får en pentest-rapport til å eldes raskt.

For det første endrer applikasjonen seg. Kode rulles ut, avhengigheter oppdateres, API-er legges til, autentiseringsflyter skrives om. Hver endring er en potensiell sårbarhet som ikke var i scope da forrige rapport ble skrevet. En manuell ny test dekker som regel bare de opprinnelige funnene, ikke den nye angrepsflaten.

For det andre var scopet smalt fra starten av. Manuelle oppdrag prises per dag, og derfor trimmer kjøperen scope for å holde seg innenfor budsjettet. Kundeportalen blir testet, partner-API-et ikke. Webfrontenden blir testet, mobil-backenden ikke. Listen over det som er utenfor scope er ofte lengre enn listen over det som er innenfor, og angriperen bryr seg ikke om grensen.

For det tredje lar rapporten seg ikke kjøre på nytt. Spør noen i oktober om mai-funnene er rettet, er det eneste ærlige svaret å bestille et nytt oppdrag. De fleste foretak gjør ikke det, for budsjettet er brukt opp. Funnet markeres som utbedret i et sakssystem, og revisor godtar den linjen til neste år.

Dette rammer ikke konsulentene som leverer disse oppdragene. Det rammer formen på selve oppdraget. De samme testerne ville levert et langt mer forsvarbart resultat med et verktøy som kjører kontinuerlig og kan kjøres på nytt på forespørsel. Det verktøyet finnes.

## Hva FM CyberSecurity kjører i stedet

Vi leverer hver pentest gjennom Aikido AI Pentest. Aikidos autonome agenter kartlegger applikasjonen, oppdager endepunkter (også udokumenterte), utnytter sårbarheter, og validerer hvert funn gjennom reell utnyttelse før det havner i rapporten ([per Aikidos produktdokumentasjon](https://www.aikido.dev/attack/aipentest)). Dekningen spenner over webapplikasjoner, REST-, GraphQL-, gRPC- og SOAP-API-er, autentiseringsflyter, tilgangskontroll og sårbarheter i forretningslogikken som IDOR og tilgang på tvers av tenants.

Plattformen kjører i tre modi. Whitebox bruker tilgang til kodebasen og tester med kjennskap til koden, greybox kombinerer kode og live-probing, blackbox tester overflaten uten kildekode. For FM CyberSecurity-kunder kjører vi som regel greybox, for kodetilgangen reduserer falske positive og live-probingen fanger kjøretidsfeil som en ren kodegjennomgang går glipp av.

I februar 2026 lanserte Aikido [Aikido Infinite](https://www.aikido.dev/blog/introducing-aikido-infinite), som flytter AI Pentest fra ad hoc til kontinuerlig. Hver kodeendring utløser agenter som tester den nye angrepsflaten, validerer utnyttbarhet, og lager merge-klare pull requests med målrettede rettinger ([Help Net Security-omtale](https://www.helpnetsecurity.com/2026/02/24/aikido-infinite-introduces-continuous-self-remediating-ai-penetration-testing/)). Applikasjonen pentestes ved hver release, ikke én gang i året.

Revisjonssporet er delen compliance-kjøperen legger merke til. Aikido produserer revisjonsklare rapporter for SOC 2 og ISO 27001 samme dag, med funn-for-funn-historikk over når hvert problem ble oppdaget, når det ble utnyttet, når det ble patchet, og når det ble retestet. Revisor får en tidslinje, ikke et øyeblikksbilde.

Alt-i-ett-plattformen rundt AI Pentest betyr mye her. Aikido samler statisk analyse (SAST), analyse av programvarekomponenter (SCA), deteksjon av hemmeligheter, skanning av containere og infrastruktur-som-kode og styring av skysikkerheten sammen med pentest-laget. FM CyberSecuritys testtjeneste bruker hele pakken, slik at når AI Pentest finner en sårbarhet, viser SAST-visningen kodelinjen, SCA-visningen avhengighetstreet, og rettingen lander samme sted. Kjøperen betaler for én plattform, ikke fem.

## Der AI-pentest ikke passer

Vi skal være ærlige om grensene. AI-pentest passer dårlig for ekte red-team-oppdrag, altså den typen der verdien ligger i menneskelig kreativitet som vever sammen fysisk tilgang, sosial manipulasjon og ett verdifullt mål over uker. Slike oppdrag forekommer sjelden i SMB-segmentet FM CyberSecurity betjener, og de utgjør et eget marked med egne kjøpere. FM CyberSecurity bemanner ikke et red team for dette arbeidet, og vi setter det heller ikke ut til underleverandører. Ber kjøperen din om en trusselbasert TIBER-EU-test mot et utpekt finansforetak, peker vi deg i riktig retning.

For alt annet, altså det meste av appsikkerhetsarbeidet for norske foretak opp til et par hundre ansatte, er AI Pentest den bedre leveransemodellen.

## Hva dette betyr for budsjettsamtalen

Sitter du som CISO eller CFO med et tilbud på £30 000 for en årlig manuell pentest, står den praktiske sammenligningen ikke mellom manuell og AI. Den står mellom ett øyeblikksbilde i året og en test som kjører ved hver release med en revisjonsrapport samme dag. Kostnadssamtalen lander som regel innenfor samme budsjettramme, av og til lavere, for Aikido priser etter applikasjons-scope i stedet for konsulentdager ([Aikidos standard pentest-pris starter på $4 000 USD](https://www.aikido.dev/attack/aipentest), med kontinuerlige nivåer priset på scope).

FM CyberSecuritys verdi ligger ikke i lisensen. Verdien ligger i scopingen av vurderingen (hvilke applikasjoner, hvilke API-er, hvilke autentiseringsgrenser), i tuningen (slik at agentene ikke jager falske positive eller angriper produksjonsstier du ikke har samtykket til), i gjennomgangen (hvert funn passerer en senior FM CyberSecurity-konsulent før det når kunderapporten), og i pakkingen av revisjonsbeviset (slik at ISO 27001- eller SOC 2-bevisene ligger på revisors bord i formatet de venter). Plattformen finner sårbarhetene. Vi gjør plattformen om til et forsvarbart program.

Kjenner du deg igjen:

- Les [hvordan vi pentester applikasjoner for ISO 27001](/insights/appsec/pentest-som-del-av-iso-27001/) for revisjonsbevis-vinkelen på samme program.
- Send dette videre til CFO eller compliance-ansvarlig, de som sitter med det manuelle pentest-tilbudet og lurer på om [hvilke regelverk som krever regelmessig pentest](/insights/appsec/regelverk-som-krever-regelmessig-pentest/) betyr det de tror det betyr.
- Ta direkte kontakt med Christian for en gjennomgang på 30 minutter av applikasjonsstacken din og hvor AI Pentest erstatter det årlige ritualet.

---

For the full documentation index, see https://fmcybersecurity.com/llms.txt
For the complete corpus as a single document, see https://fmcybersecurity.com/llms-full.txt