Er PenLab sikkert at bruge på produktion?

Ja. PenLab er designet til at være ikke-destruktivt og rate-limited. Destruktive tests kører i dry-run mode. Du kan se hver eneste HTTP-request i probe audit trail — fuld gennemsigtighed.

Gemmer I følsomme data fra min app?

PenLab viser dig de faktiske data vi fandt, så du kan se præcis hvad der er eksponeret. Alle testkonti slettes automatisk efter scanning. Rapporter er kun tilgængelige for dig via sikre adgangstokens.

Hvordan tester I autentificerede områder?

PenLab probler automatisk alle auth-providers (Supabase, Firebase, NextAuth, Clerk, Auth0 m.fl.) og opretter testkonti. Du kan også angive egne testcredentials til dybere test. JWT-angreb, IDOR, privilege escalation og account takeover testes automatisk.

Hvad er inkluderet i rapporten?

Risikoscorer på tværs af 21 kategorier (275+ tjek), detaljerede findings med angrebsscenarier og bevis, finansiel impact-analyse, datalæk-preview, GDPR Art. 32 dokumentation, OWASP WSTG dækning, webscreenshot, synlige dependencies med versioner, probe audit trail og retest diff.

Hvilke eksportformater understøttes?

PDF, JSON, CSV, Excel (multi-sheet med scores, findings, finansiel impact, datalæk, auth intelligence og GDPR), Markdown samt compliance-rapport med GDPR Art. 32, OWASP WSTG, ISO 27001 og SOC 2 mapping.

Hvilke stacks understøttes?

Moderne web stacks inkl. Next.js/Vercel, Supabase, Firebase, MongoDB, Clerk, Auth0, Zapier, HubSpot, Typeform og almindelige tredjeparts form handlers. Stack-specifikke adapters tester middleware bypass, RLS, buckets m.m.

Kan jeg bruge rapporten som GDPR-dokumentation?

Ja. Rapporten indeholder en GDPR-compliance sektion med refererede artikler, testede tjek, dækningsprocent og findings — klar til databeskyttelsesmyndigheder som dokumentation af rimelige tekniske foranstaltninger under Art. 32.

Hvad er inkluderet i avanceret pentest med agenter?

Avanceret pentest bruger specialiserede agenter (Auth Brute-Force, SQLi Injection, Port Scan, API Fuzz, XSS Payload, Path Traversal, Cookie Inspector, Data Enumeration, Recon Fingerprint m.fl.) til dyb penetrationstest inkl. forretningslogikfejl, race conditions og komplekse angrebskæder.

Hvordan hjælper PenLab med NIS2-overholdelse?

PenLabs sikkerhedsrapport matcher direkte til NIS2 Artikel 21s krav til tekniske sikkerhedsforanstaltninger. Du får automatiseret risikovurdering, sårbarhedshåndtering, GDPR Art. 32 dokumentation, OWASP WSTG dækning og fuld audit trail — al dokumentation du kan præsentere for tilsynsmyndigheder.

Hvad er OWASP Top 10 og hvordan dækker PenLab det?

OWASP Top 10 er den mest anerkendte liste over kritiske webapp-sikkerhedsrisici. PenLab følger OWASP Web Security Testing Guide (WSTG) v4.2 og mapper sine 275+ tjek til alle OWASP Top 10 kategorier inkl. Broken Access Control, Injection, Cryptographic Failures m.m.

Alle ressourcer

WHITEPAPER

Autonom vs. Manuel Penetrationstest

Denne rapport benchmarker PenLab AI (autonom AI-pentesting) mod eksterne manuelle pentests på fire webapplikationer. AI-tests kørte markant hurtigere og afdækkede flere dybe applikationslogik-sårbarheder (f.eks. IDOR og auth bypasses), mens menneskelige testere primært bidrog med konfigurationshærdning og compliance-orienterede fund — men missede kritiske sårbarheder under tidspres.

Publiceret 1. februar 2026|PENLAB Q1 2026

Kernen

Vi kørte en head-to-head sammenligning mellem PenLab AI (autonome pentests) og eksterne traditionelle manuelle pentests på fire forskellige webapplikationer.

Dommen: Den automatiserede løsning var drastisk hurtigere og fandt dybere logik-fejl — som IDOR'er — takket være kildekode-adgang. De menneskelige testere fokuserede kraftigt på compliance og konfigurationsstandarder, men missede flere kritiske exploits som automatiseringen identificerede pga. tidspres og manglende kodesynlighed.

Opsætningen

Virkelige forhold blev prioriteret over videnskabelige kontrolgrupper for at afspejle, hvordan disse værktøjer faktisk bruges:

PenLab AI (Whitebox)

Autonom, med fuld adgang til kildekoden. 20+ specialiserede AI-agenter, 325+ checkpoints, 25 aktive angrebsmoduler.

PenLab AI (Blackbox)

Autonom, men uden adgang til kildekoden. Udelukkende eksternt perspektiv.

Menneskelige testere (Greybox)

Autentificeret brugeradgang, men ingen kildekodesynlighed (standard for eksterne engagementer pga. logistik/NDA'er).

Nøglekoncept: Adgangs-Asymmetri

I dagens pentest-landskab er Greybox-testing normen, fordi det tilbyder det bedste kompromis mellem dækning og pris. Mens det at give et AI-værktøj adgang til kode er øjeblikkeligt, gør indsatsen for menneskelige testere til at forstå og gennemgå en fuld codebase Whitebox uoverkommeligt dyrt i de fleste manuelle engagementer. Denne "asymmetri" tillader AI at operere med "Whitebox"-testing, mens mennesker ofte er begrænset til "Greybox." AI's effektivitet skalerer med kontekstens rigdom — den mest værdifulde kontekst er kildekoden selv. → Som resultat vil AI-pentesting drive et strukturelt skift fra Greybox mod Whitebox som standardmodellen.

Nøgleresultater

1. Hastighedsfordel

Autonom: Gennemførte test på timer (ca. 6,5 til 14,5 timer). Manuel: Tog uger (op til 4 uger) for test og rapportering.

0.4 dage

Gns. PenLab AI

19.5 dage

Gns. Menneskelig

Gns. PenLab AI

Gns. Menneskelig

Case 1

0.6d

13x

Case 2

0.38d

14d

37x

Case 3

0.27d

28d

104x

Case 4

0.33d

28d

85x

2. Dybde vs. Compliance

AI-styrker: Fandt dybe logik-fejl som IDOR'er, Authentication Bypasses og e-signatur-forfalskning som mennesker missede. Menneskelige styrker: Fokuserede kraftigt på compliance, konfigurationshærdning og generel sikkerhedshygiejne.

3. "Adgangs"-Kløften

Whitebox vs. Greybox: AI-værktøjer udnyttede øjeblikkeligt fuld kildekode-adgang ("Whitebox") til at finde skjulte bugs. Mennesker var begrænset til "Greybox" (ingen kode) adgang pga. logistiske forhindringer, som forhindrede dem i at se dybere fejl. Blackbox-overraskelse: Selv uden kodeadgang overgik AI menneskerne i at finde Broken Access Control-problemer i ét casestudie. Samlet set illustrerer disse fund et konsistent mønster: adgang er den afgørende faktor. Når kildekode er tilgængelig, kan AI kapitalisere på den øjeblikkeligt med hurtig, skalérbar, omkostningseffektiv Whitebox-testing. "Adgangs-kløften" er ikke kun operationel — den omformer strukturelt, hvad "standard"-pentesting kan se ud som.

Samlet Vurdering

AI-testing var drastisk hurtigere og bedre til at præcisere kritiske kode-niveau exploits
Manuel testing udmærkede sig ved brede compliance-checks men missede katastrofale bagdøre

Casestudier

CASE 1

Case 1: B2B SaaS Platform

En klimateknologi-styringsplatform til store virksomheder.

Senioritetsgrad: Senior Tester

PenLab AI (Autonom)

14,5 timer

7 samlede fund

3 Kritisk/Høj

Manuel (Menneskelig)

8 dage

4 samlede fund

1 Kritisk/Høj

Analyse

AI: Fandt IDOR'er og XSS ved at analysere kodelogik. Menneskelig: Missede IDOR'erne men fandt 3 specifikke hærdnings-/konfigurationsproblemer. Den manuelle vurdering fokuserede på sikkerhedsbestpraksis, men missede kritiske sårbarheder. Greybox-opsætningen forhindrede reelt dem i at finde disse dybere logik-fejl.

CASE 2

Case 2: Dokument-Signeringsapp

En workflow-tung applikation med e-signaturer.

Senioritetsgrad: Senior Tester

PenLab AI (Autonom)

~9 timer

21 samlede fund

4 Kritisk/Høj

Manuel (Menneskelig)

~2 uger

9 samlede fund

1 Kritisk/Høj

Analyse

AI: Opdagede en kritisk Workflow Integrity-fejl (tillod forfalskede signaturer) og et højt antal XSS (12 instanser). Menneskelig: Fandt 1 XSS og 1 SSRF, men fokuserede kraftigt på hærdning (7 ud af 9 fund). De menneskelige testere prioriterede compliance og konfigurationshygiejne over dyb sårbarhedsdetektion.

CASE 3BLACKBOX

Case 3: Agentisk Betalingsapp

En applikation med AI-agenter til at håndtere betalinger.

Senioritetsgrad: Senior Tester

PenLab AI (Autonom)

~6,5 timer

12 samlede fund

3 Kritisk/Høj

Manuel (Menneskelig)

~4 uger

7 samlede fund

1 Kritisk/Høj

Analyse

AI (Blackbox-overraskelsen): Selv uden kildekodeadgang beviste AI'en, at den kan overgå menneskelig Greybox-testing på dybe logik-fejl. Den opdagede 8 Broken Access Control-sårbarheder (det dobbelte af de menneskelige fund) sammen med CSRF- og XSS-problemer, der blev fuldstændig misset under den manuelle test.

CASE 4

Case 4: AI Vidensplatform

En platform til at indsamle information og visualisere den med AI.

Senioritetsgrad: Principal Tester

PenLab AI (Autonom)

~8 timer

7 samlede fund

2 Kritisk/Høj

Manuel (Menneskelig)

~4 uger

15 samlede fund

1 Kritisk/Høj

Analyse

AI: Med Whitebox-adgang detekterede systemet specifikke implementeringssårbarheder, der ofte misses af eksterne vurderinger, inkl. en Hardcoded Authentication Bypass og en Missing State Parameter i OAuth-flowet. Menneskelig: Senior-teamet identificerede en bredere vifte af business logic- og konfigurationsproblemer. Afvejningen: Mens Principal Testers kan konkurrere med automatisering givet omfattende tid og budget, er hastighedsforskellen markant — ~8 timer vs. 4 ugers leveringstid.

Konklusion

Tiderne ændrer sig, og AI bevæger sig hurtigt. Vi ser allerede automatisering overgå menneskelig indsats i hastighed og dyb logik-detektion. Mens dette benchmark fremhævede en skelnen, hvor manuel indsats excellerede ved konfiguration, har vi i mellemtiden lukket "komplethedskløften" på hærdning og compliance-checks. Vores mål er klart: ubønhørligt at forbedre, indtil den automatiserede motor overgår traditionelle metoder på alle facetter af sikkerhedstest.

Klar til at teste din webapp?

Start en gratis sikkerhedsscanning med 275+ checkpoints på under 5 minutter.