Aikido acquiert Root pour patcher les logiciels open-source

Introduction

Aikido Security NV, une entreprise de cybersécurité belge, a annoncé l'acquisition de Root.io Inc., une société qui propose des correctifs pour les logiciels open-source vulnérables aux versions exactes utilisées par les organisations.

Contexte Technique

Root.io propose une technologie appelée « agentic vulnerability remediation » qui utilise des agents IA spécialisés pour rechercher, rédiger, tester et livrer des correctifs en environ 15 à 40 minutes, contre des semaines pour le processus manuel. Ces correctifs sont appliqués directement aux images de conteneurs et aux dépendances logicielles utilisées par les entreprises, sans nécessiter de reconstruction ou de migration.

La technologie de Root.io permet de corriger les vulnérabilités sans modifier le code dans plus de quatre cas sur cinq, avec un réviseur humain qui valide les correctifs. Cette approche a permis à la société de sécurité des données BigID Inc. de corriger plus de 1 000 vulnérabilités, dont plus de 300 étaient classées comme élevées ou critiques, sur six images de production en deux semaines, sans abandonner ses piles basées sur Debian et Ubuntu.

Analyse et Implications

L'acquisition de Root.io par Aikido permet de proposer une solution pour contourner le dilemme auquel sont confrontées la plupart des équipes lorsqu'une dépendance se révèle vulnérable. La mise à jour vers une version plus récente d'un package peut casser une application fonctionnelle ou introduire de nouveaux logiciels malveillants, tandis que la migration vers un remplacement verrouillé par un fournisseur remplace une dépendance par une autre.

Les correctifs de Root.io, intégrés à la plateforme d'Aikido sous la forme d'une fonctionnalité appelée Aikido Libraries, corrigent la faille spécifique sans apporter de modifications cassantes qu'une mise à jour de version complète tend à apporter. La technologie génère des centaines de correctifs vérifiés chaque jour.

Perspective

La société Aikido a annoncé qu'elle allait commencer à backporter des correctifs pour les vulnérabilités open-source critiques et actuellement exploitées à la communauté plus large, en les contribuant en amont aux projets qui maintiennent le code, plutôt que de les garder derrière un paywall.

Cette acquisition s'inscrit dans une série d'acquisitions pour Aikido, qui a racheté l'entreprise de révision de code IA Trag, ainsi que les sociétés de test de pénétration autonomes Allseek BV et Haicker SA en 2025. En janvier, l'entreprise a levé 60 millions de dollars dans le cadre d'une série B qui l'a valorisée à 1 milliard de dollars, ce qui en fait la société européenne de cybersécurité la plus rapide à atteindre le statut de licorne.