rood hangslot op een zwart computertoetsenbord, symbool voor softwarebeveiliging
Nieuws1 juli · 00:194 min leestijd

Aikido koopt Root voor 70 miljoen dollar om kwetsbaarheden automatisch te patchen

Het Gentse beveiligingsbedrijf Aikido neemt de Amerikaanse start-up Root over voor 70 miljoen dollar en kan kwetsbaarheden zo patchen in de versie die je al draait, zonder gedwongen upgrade.

Aikido Security, het Gentse beveiligingsbedrijf dat veel ontwikkelaars kennen van zijn dependency-scanning, heeft de Amerikaanse start-up Root overgenomen voor 70 miljoen dollar. Root patcht kwetsbaarheden rechtstreeks in de pakketversie die een team al draait, in plaats van iedereen te dwingen naar een nieuwere release te upgraden. De twee bedrijven werkten al sinds medio 2025 samen rond hardened container images; nu vouwt Aikido Root's technologie volledig in zijn platform, onder twee nieuwe productnamen: Aikido Libraries en Aikido Images.

Wat Root oplost

Bij de meeste scanners stopt het werk bij het signaleren van een kwetsbaarheid: jij moet zelf uitzoeken of de beschikbare patch een breaking change introduceert, of dat je een hele afhankelijkheid een major-versie moet opschuiven. Root automatiseert precies dat laatste, lastigste stuk. Het bedrijf bouwde een agent-gebaseerde pijplijn die voor de exacte pakketversie die je al gebruikt een gerichte patch genereert, test en valideert, zonder dat je naar een nieuwe major-release moet. Root-CEO Ian Riopel verwoordt het zo: "We built Root to skip the argument and just fix the problem in place. This is a choice between walled gardens and real support for open source. We chose open source," aldus Riopel in de aankondiging van de overname.

Die pijplijn draait inmiddels op honderden geverifieerde CVE-patches per dag, voor ecosystemen als npm, PyPI en Maven en voor container-images via een nieuwe catalogus op images.aikido.dev. Zelf zo'n pijplijn bouwen, met de service-level agreements die erbij horen, had volgens Aikido-COO Roeland Delrue een hele tijd gevergd, zo vertelde hij aan BankInfoSecurity.

Gratis patches voor actief misbruikte kwetsbaarheden

Aikido belooft daarnaast dat fixes voor kritieke, actief misbruikte kwetsbaarheden, dus alles op de Known Exploited Vulnerabilities-lijst van het Amerikaanse CISA, gratis teruggaan naar de open source-gemeenschap in plaats van achter een betaalmuur te verdwijnen. Dat is een smal segment van alle gemelde kwetsbaarheden, maar wel de kwetsbaarheden die in de praktijk het vaakst daadwerkelijk worden misbruikt. NodeSource-CTO Adrian Estrada, die als Node.js core-bijdrager rechtstreeks met dit soort patches te maken heeft, noemt wat het zijn team bespaart: "Aikido and Root are taking work off our plate by backporting fixes and contributing them upstream," zo meldt Aikido in het persbericht over de overname.

Het is alweer de vierde overname voor Aikido in iets meer dan een jaar, nadat het bedrijf begin dit jaar unicornstatus bereikte met een Series B-ronde van 60 miljoen dollar tegen een waardering van 1 miljard dollar. Root zelf, opgericht in 2021 als Slim.AI en gebouwd op het open-source DockerSlim-project, haalde in 2022 een Series A van 31 miljoen dollar op onder leiding van Insight Partners, voordat het zich herpositioneerde van containeroptimalisatie naar geautomatiseerd patchen onder de naam Root.

Opnieuw de software-toeleveringsketen als doelwit

Dat Aikido dit probleem oplost, is geen toeval: het bedrijf was zelf de partij die deze maand vijftien kwaadaardige JetBrains-plugins ontdekte die de AI-API-sleutels van bijna 70.000 ontwikkelaars naar een aanvaller doorstuurden. Een week eerder kaapten aanvallers op vergelijkbare wijze de npm-scope van het AI-framework Mastra en injecteerden een credential-steler in ruim 140 pakketten, via niets meer dan een vergeten beheerdersaccount. Beide incidenten draaiden om vertrouwen: software die je zonder nadenken binnenhaalt, kan zonder waarschuwing van eigenaar wisselen of vervuild raken. Root's belofte om patches automatisch toe te passen zonder dat een team eerst zelf moet beoordelen of een upgrade veilig is, speelt rechtstreeks in op dat probleem: hoe sneller een kwetsbaarheid gedicht wordt nadat ze bekend is, hoe kleiner het venster waarin een aanvaller kan toeslaan.

Het logo van het Gentse beveiligingsbedrijf Aikido Security, bron: Aikido Security / Wikimedia Commons (publiek domein)
Het logo van het Gentse beveiligingsbedrijf Aikido Security, bron: Aikido Security / Wikimedia Commons (publiek domein)

Wat betekent dit voor jouw bedrijf

Gebruik je Aikido al voor dependency-scanning, dan verandert er weinig aan de interface, maar wel aan wat er na een melding gebeurt. In plaats van een lijst kwetsbaarheden die je zelf moet triëren, testen en patchen, krijg je een kant-en-klare, gevalideerde vervanging voor precies de versie die je draait. Dat is vooral waardevol voor een MKB-bedrijf of een IT-afdeling zonder dedicated security-engineer: de echte tijdsdruk bij patchen zit zelden in het vinden van het probleem, maar in het uitzoeken of een fix iets anders breekt.

Belangrijk is wel om een automatische patch net zo kritisch te behandelen als elke andere dependency-update: laat hem door je eigen CI/CD-pipeline lopen voordat hij naar productie gaat, en houd zicht op wat er precies verandert, ook als een tool dat voor je regelt. Een patch die je niet zelf hebt gecontroleerd, is nog steeds een wijziging in productiecode, hoe goed de belofte van "geen breaking changes" ook klinkt.

De onderliggende les staat los van Aikido of Root. Het structurele probleem van de software-toeleveringsketen, te veel ongecontroleerde afhankelijkheden en te trage patch-cycli, is niet op te lossen met meer scanners alleen. Het vraagt om automatisering van precies de stap die vandaag nog handmatig en foutgevoelig is: het daadwerkelijk doorvoeren van een fix.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Bij FLOH ontwerp en bouw ik complete software, integraties en AI op maat, van eerste idee tot werkend product, en jij blijft eigenaar. Hier schrijf ik nuchter over bouwen met AI en software voor ondernemers en organisaties.

Meer over mij

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd
Nieuws
6 min

3 jul 14:10

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd

De FBI bracht een officiele waarschuwing uit voor TeamPCP, die breed gebruikte ontwikkel- en beveiligingstools vergiftigde. De concrete raad: installeer een pakket pas na een minimale leeftijd van zeven dagen.

Je AI-toolchain is je nieuwe aanvalsoppervlak
Inzicht
8 min

20 jun 09:00

Je AI-toolchain is je nieuwe aanvalsoppervlak

Van npm-pakketten tot IDE-plugins tot zelfgehoste gateways: elke laag van je AI-stack is een actief aanvalspad geworden. Zonder supply chain beleid loop je nu al risico.

Nep-SDK's van Paysafe en Skrill op npm en PyPI stelen ontwikkelaarsgeheimen
Nieuws
4 min

9 jul 00:09

Nep-SDK's van Paysafe en Skrill op npm en PyPI stelen ontwikkelaarsgeheimen

Beveiligingsbedrijf Socket vond zeventien nep-betaal-SDK's op npm en PyPI die zich voordoen als Paysafe, Skrill en Neteller. Ze geven een valse succesmelding terug en stelen ondertussen de cloud- en repository-sleutels van ontwikkelaars die er een betaalintegratie mee bouwen.

Je AI-automatiseringsstack beveiligen tegen supply chain-aanvallen: van npm tot Langflow
Gids
10 min

24 jun 13:05

Je AI-automatiseringsstack beveiligen tegen supply chain-aanvallen: van npm tot Langflow

Het grootste deel van je AI-stack is code van vreemden. Zo leg je elke afhankelijkheid vast, verifieer je herkomst en houd je Langflow en LiteLLM dicht, stap voor stap.

Je AI-API-sleutels beschermen: zo voorkom je dat tools en plugins je credentials stelen
Gids
9 min

23 jun 10:13

Je AI-API-sleutels beschermen: zo voorkom je dat tools en plugins je credentials stelen

Een handvol API-sleutels geeft toegang tot je modellen, je data en je budget. Een praktische how-to: van inventarisatie en een secrets manager tot scoped keys, rotatie en monitoring.

Cybersecurity basischeck: vijf lagen die je zelf kunt nalopen
Gids
10 min

19 jun 17:05

Cybersecurity basischeck: vijf lagen die je zelf kunt nalopen

De meeste aanvallen mikken op de basis, niet op geniale hacks. Met deze basischeck in vijf lagen breng je credentials, netwerk, supply chain, AI-tools en herstelplan in een halve dag op orde.