Aikido Security, het Gentse beveiligingsbedrijf dat veel ontwikkelaars kennen van zijn dependency-scanning, heeft de Amerikaanse start-up Root overgenomen voor 70 miljoen dollar. Root patcht kwetsbaarheden rechtstreeks in de pakketversie die een team al draait, in plaats van iedereen te dwingen naar een nieuwere release te upgraden. De twee bedrijven werkten al sinds medio 2025 samen rond hardened container images; nu vouwt Aikido Root's technologie volledig in zijn platform, onder twee nieuwe productnamen: Aikido Libraries en Aikido Images.
Wat Root oplost
Bij de meeste scanners stopt het werk bij het signaleren van een kwetsbaarheid: jij moet zelf uitzoeken of de beschikbare patch een breaking change introduceert, of dat je een hele afhankelijkheid een major-versie moet opschuiven. Root automatiseert precies dat laatste, lastigste stuk. Het bedrijf bouwde een agent-gebaseerde pijplijn die voor de exacte pakketversie die je al gebruikt een gerichte patch genereert, test en valideert, zonder dat je naar een nieuwe major-release moet. Root-CEO Ian Riopel verwoordt het zo: "We built Root to skip the argument and just fix the problem in place. This is a choice between walled gardens and real support for open source. We chose open source," aldus Riopel in de aankondiging van de overname.
Die pijplijn draait inmiddels op honderden geverifieerde CVE-patches per dag, voor ecosystemen als npm, PyPI en Maven en voor container-images via een nieuwe catalogus op images.aikido.dev. Zelf zo'n pijplijn bouwen, met de service-level agreements die erbij horen, had volgens Aikido-COO Roeland Delrue een hele tijd gevergd, zo vertelde hij aan BankInfoSecurity.
Gratis patches voor actief misbruikte kwetsbaarheden
Aikido belooft daarnaast dat fixes voor kritieke, actief misbruikte kwetsbaarheden, dus alles op de Known Exploited Vulnerabilities-lijst van het Amerikaanse CISA, gratis teruggaan naar de open source-gemeenschap in plaats van achter een betaalmuur te verdwijnen. Dat is een smal segment van alle gemelde kwetsbaarheden, maar wel de kwetsbaarheden die in de praktijk het vaakst daadwerkelijk worden misbruikt. NodeSource-CTO Adrian Estrada, die als Node.js core-bijdrager rechtstreeks met dit soort patches te maken heeft, noemt wat het zijn team bespaart: "Aikido and Root are taking work off our plate by backporting fixes and contributing them upstream," zo meldt Aikido in het persbericht over de overname.
Het is alweer de vierde overname voor Aikido in iets meer dan een jaar, nadat het bedrijf begin dit jaar unicornstatus bereikte met een Series B-ronde van 60 miljoen dollar tegen een waardering van 1 miljard dollar. Root zelf, opgericht in 2021 als Slim.AI en gebouwd op het open-source DockerSlim-project, haalde in 2022 een Series A van 31 miljoen dollar op onder leiding van Insight Partners, voordat het zich herpositioneerde van containeroptimalisatie naar geautomatiseerd patchen onder de naam Root.
Opnieuw de software-toeleveringsketen als doelwit
Dat Aikido dit probleem oplost, is geen toeval: het bedrijf was zelf de partij die deze maand vijftien kwaadaardige JetBrains-plugins ontdekte die de AI-API-sleutels van bijna 70.000 ontwikkelaars naar een aanvaller doorstuurden. Een week eerder kaapten aanvallers op vergelijkbare wijze de npm-scope van het AI-framework Mastra en injecteerden een credential-steler in ruim 140 pakketten, via niets meer dan een vergeten beheerdersaccount. Beide incidenten draaiden om vertrouwen: software die je zonder nadenken binnenhaalt, kan zonder waarschuwing van eigenaar wisselen of vervuild raken. Root's belofte om patches automatisch toe te passen zonder dat een team eerst zelf moet beoordelen of een upgrade veilig is, speelt rechtstreeks in op dat probleem: hoe sneller een kwetsbaarheid gedicht wordt nadat ze bekend is, hoe kleiner het venster waarin een aanvaller kan toeslaan.

Wat betekent dit voor jouw bedrijf
Gebruik je Aikido al voor dependency-scanning, dan verandert er weinig aan de interface, maar wel aan wat er na een melding gebeurt. In plaats van een lijst kwetsbaarheden die je zelf moet triëren, testen en patchen, krijg je een kant-en-klare, gevalideerde vervanging voor precies de versie die je draait. Dat is vooral waardevol voor een MKB-bedrijf of een IT-afdeling zonder dedicated security-engineer: de echte tijdsdruk bij patchen zit zelden in het vinden van het probleem, maar in het uitzoeken of een fix iets anders breekt.
Belangrijk is wel om een automatische patch net zo kritisch te behandelen als elke andere dependency-update: laat hem door je eigen CI/CD-pipeline lopen voordat hij naar productie gaat, en houd zicht op wat er precies verandert, ook als een tool dat voor je regelt. Een patch die je niet zelf hebt gecontroleerd, is nog steeds een wijziging in productiecode, hoe goed de belofte van "geen breaking changes" ook klinkt.
De onderliggende les staat los van Aikido of Root. Het structurele probleem van de software-toeleveringsketen, te veel ongecontroleerde afhankelijkheden en te trage patch-cycli, is niet op te lossen met meer scanners alleen. Het vraagt om automatisering van precies de stap die vandaag nog handmatig en foutgevoelig is: het daadwerkelijk doorvoeren van een fix.
Veelgestelde vragen
Bij FLOH ontwerp en bouw ik complete software, integraties en AI op maat, van eerste idee tot werkend product, en jij blijft eigenaar. Hier schrijf ik nuchter over bouwen met AI en software voor ondernemers en organisaties.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
