Perfai Security
Perfai Security - AIセキュリティのループを自動化する自律型AppSecプラットフォーム
Perfai Securityは、AIアプリ向けに設計された自律型セキュリティプラットフォームです。Vision、Security、Fixの3つのエージェントが連携し、マッピング、攻撃テスト、修正、検証のフルサイクルを自動化します。BOLAやアクセス制御の不備をリアルタイムで検出し、CursorやCopilotなどのコードエージェントと連携して修正パッチまで生成。継続的なセキュリティカバレッジを提供し、開発スピードを落とさずにアプリを保護します。
2026-07-11
--K
Perfai Security 製品情報
Perfai Security: AIアプリのための自律型セキュリティプラットフォーム
現代のAIネイティブなアプリケーション開発において、セキュリティはかつてないほど重要になっています。Perfai Securityは、AIによって構築されるアプリのスピードに合わせて進化する、世界初の自律型AppSecプラットフォームです。ソースコードへのアクセスを必要とせず、URLを指定するだけで、AIエージェントがアプリの脆弱性を自動的に「発見」し、「修正」し、「検証」するフルループを提供します。
What's Perfai Security (Perfai Securityとは?)
Perfai Securityは、AIセキュリティのフルループを自動化するためのプラットフォームです。従来の静的なスキャンツールや、年に一度のペンテスト(脆弱性診断)とは異なり、Perfai Securityは開発サイクルに完全に統合され、コミットのたびに継続的なセキュリティカバレッジを提供します。
このプラットフォームは、以下の3つの専門AIエージェントによって構成されています。
- Vision Agent: アプリのルート、ロール、権限の組み合わせを自動的にマッピングします。
- Security Agent: 文脈に応じた数千の攻撃テストを生成・実行します。
- Fix Agent: 脆弱性の文脈をパッケージ化し、開発者が使用するコードエージェントへ修正パッチをルーティングします。
これまで4,000以上のVibeアプリを保護し、28,400件以上の脆弱性を検出・修正してきました。これにより、推定2,750万ドル以上のバグバウンティ報酬の削減に貢献しています。
Perfai Securityの主な機能 (Features)
1. Vision Agent: アプリ全体の構造を把握
Vision Agentは、人間のように自律的にライブアプリ内をナビゲートします。コードへのアクセスは不要で、URLを貼り付けるだけで、すべてのロール、データ、アクションの組み合わせをマッピングします。例えば、6つのロール、10種類のデータ、100のアクションを持つ中規模アプリの場合、数分以内に6,000通りの権限の組み合わせをマッピング可能です。
2. Security Agent: 高度な攻撃テストの実行
Security Agentは、Vision Agentが作成したマップに基づき、そのアプリ専用の攻撃テストを数千件生成します。特に、従来のDASTツールでは検出が困難だった**BOLA(Broken Object Level Authorization)**や、マルチテナント間の隔離不備、権限昇格、シャドー機能などのアクセス制御に関する脆弱性を重点的にテストします。
3. Fix Agent: 修正と検証の自動化
Perfai Securityは、単にレポートを出して終わりではありません。Fix Agentは、脆弱性の詳細なコンテキストをCursor、Copilot、Claude Code、ReplitなどのAIコーディングアシスタントに提供し、正確な修正プランを作成します。修正後は即座に再テストを実行し、問題が完全に解決されたことを検証します。これにより、手動での修正と比較して修正時間を平均92%削減します。
4. 継続的なカバレッジ (Continuous Coverage)
コードが変更されるたびに、Perfai Securityは自動的に攻撃対象領域(Attack Surface)を再マッピングし、テストを再実行します。AIによって構築されたアプリは時間単位で進化しますが、Perfai Securityはそのスピードに合わせてリアルタイムで保護を提供します。
5. 監査対応のレポート機能
検出された脆弱性は、ISO、SOC 2、GDPR、HIPAAなどの主要なコンプライアンスフレームワークにマッピングされた監査対応のPDFレポートとして出力可能です。CVSSスコア、CWE ID、OWASPカテゴリに基づき、重要度順に整理されます。
How to Use (使い方)
Perfai Securityの導入は非常にシンプルで、わずか4つのステップで完了します。
- アプリの登録 (Register Your App) 対象となるAIアプリのURLを入力します。OAuthを利用して、既存のスタック(Slack, GitHub等)と2クリックで連携可能です。
- 自律テストの実行 (Autonomous Testing) Vision Agentがアプリを探索し、ロールと権限を特定。その後、Security Agentが数千のテストケースを自動実行します。
- 結果の確認 (Testing Results) BOLAや壊れた認証など、検出された脆弱性をリスクレベル(Critical, High, Medium, Low)ごとに確認します。バグバウンティでの想定節約額も表示されます。
- 修正と詳細の把握 (Security Details) Fix Agentを通じて、利用しているコードエージェントにパッチを送信。修正完了後、再テストが行われ、安全性が確認されます。
Use Case (活用シーン)
- デベロッパー: エンジニアのためのブラックボックスAppSecとして。CIネイティブなスキャンやPR(プルリクエスト)単位の自動修正に活用できます。
- Vibe Coders (AIツール利用者): Bolt、v0、Replit、Cursorなどで構築されたアプリに、URL一つでエンタープライズ級のセキュリティを付与します。
- エンタープライズ (大企業): Global 2000企業向けに、SSO、VPC、SOC 2対応、専任のTAM(テクニカルアカウントマネージャー)による継続的なAppSecを提供します。
他のセキュリティ手法との比較
Perfai Security vs 従来のペンテスト 年に一度の手動診断に代わり、コミットごとの継続的な診断を実現します。
Perfai Security vs DAST (動的解析) 従来のDASTでは見えない、現代的なアクセス制御(認可)の脆弱性をAIが検知します。
Perfai Security vs コードスキャナー (SAST) 静的な解析では見落とされる実行時の認証・認可の問題を、ライブ環境でのテストによって確実に捉えます。
FAQ (よくある質問)
Q: ソースコードへのアクセス権を与える必要がありますか? A: いいえ、Vision AgentとSecurity AgentはライブアプリのURLからブラックボックス形式で診断を行うため、ソースコードへのアクセスは不要です。ただし、Fix Agentによる自動修正機能を利用する場合は、リポジトリとの連携が必要です。
Q: どのような脆弱性を検出できますか? A: 特にアクセス制御に関する問題に強みを持っています。BOLA(オブジェクトレベルの認可不備)、壊れた認証、テナント間の隔離不備、権限昇格、管理機能の露出などを高精度で検出します。
Q: 導入にはどのくらいの時間がかかりますか? A: URLを設定してから、最初の脆弱性が発見されるまで通常20分以内です。
Q: 無料プランはありますか? A: はい、月間900クレジットまで利用可能なFreeプランを提供しています。クレジットカードの登録なしで、すぐにアプリのセキュリティを確認できます。








