Pentest v době AI: proč checklist není přežitek, ale váš nejsilnější argument

Skenery jsou rychlejší, agenti dokážou vygenerovat exploit v reálném čase a celé fáze testu se odehrávají bez lidského zásahu. Vzniká tak otázka, kterou dnes slýcháme čím dál častěji: má v této době ještě smysl strukturovaný, checklistový pentest?

Pavel Hanuš
Pavel Hanuš
05.05.2026Novinky

Pentest v době AI: proč checklist není přežitek, ale váš nejsilnější argument

Generativní AI mění způsob, jakým děláme bezpečnost. Skenery jsou rychlejší, agenti dokážou vygenerovat exploit v reálném čase a celé fáze testu se odehrávají bez lidského zásahu. Vzniká tak otázka, kterou dnes slýcháme čím dál častěji: má v této době ještě smysl strukturovaný, checklistový pentest? Z naší zkušenosti v Penterep je odpověď jednoznačná. Nejen že má, ale jeho hodnota právě teď znovu roste.

Pentest v době AI a checklistový přístup

Důvod je jednodušší, než by se zdálo. Bezpečnost se nikdy neměřila tím, kolik nálezů jste objevili, ale tím, co dokážete o své práci doložit. A přesně v tomto bodě AI pentest, ať je sebechytřejší, naráží na zeď.

Co AI dnes opravdu umí a kde končí

Nemá smysl předstírat, že se nic nezměnilo. Autonomní AI agenti dnes zvládnou věci, které byly před dvěma lety nepředstavitelné. Provedou reconnaissance, najdou SQL injection, navrhnou payload a sepíšou k tomu poznámky. Vytvoří mapu povrchu aplikace dřív, než si stihnete uvařit kávu.

Současně ale nezávislé benchmarky ukazují, že plně autonomní pentest pipeline stále selhávají ve chvíli, kdy je potřeba provázat více fází testování a zajistit úplnost pokrytí. AI dokáže najít zranitelnost, ale neumí garantovat, že prošla všechno, co projít měla.

A právě v tom je zásadní problém. Pentest není soutěž v rychlosti. Největším rizikem není to, co najdete pozdě, ale to, co vůbec netestujete.

Bezpečnost se měří doložitelností, ne rychlostí

Tento bod jsme rozebírali už v článku NIS2 mění pravidla hry: proč už nestačí „mít pentest“ , a v kontextu AI nabývá ještě většího významu. Nový zákon o kybernetické bezpečnosti, podpůrné materiály NÚKIB i samotná směrnice NIS2 jsou v tomto bodě jednoznačné. Organizace musí být schopná zpětně doložit, kdy testování proběhlo, jaký mělo rozsah, jaké byly výsledky a kdo za ně nesl odpovědnost.

Zkuste tento požadavek aplikovat na autonomní AI nástroj. Dostanete log z běhu nebo report, ale nedostanete jasnou metriku pokrytí. AI vám neřekne, co vědomě vynechala a proč. Nedoloží, že prošla všechny relevantní scénáře ani že test byl skutečně kompletní.

Auditor neuznává to, co bylo možná otestováno. Uznává pouze to, co lze jasně doložit, popsat a obhájit.

Checklist není byrokracie, ale měřítko kvality

Když se řekne checklistový pentest, mnoho lidí si představí ruční odškrtávání položek v tabulce. Ve skutečnosti jde ale o strukturovaný proces, který mapuje testovací kroky na uznávané metodiky a umožňuje přesně doložit rozsah i průběh testování.

V Penterep je checklist živou součástí workflow. Automatické výsledky se přiřazují ke konkrétním bodům, manuální testy mají zaznamenaný postup a celý proces je auditovatelný. Výsledkem není jen seznam nálezů, ale kvantifikovatelná míra úplnosti testu.

To je hodnota, kterou dnes požadují klienti, compliance týmy i regulace: ne rychlost, ale prokazatelná úplnost.

AI nezabíjí metodiku, naopak jí vrací hodnotu

Čím více AI zrychluje rutinní části testování, tím větší význam má pevný proces, který tuto automatizaci řídí. AI umí urychlit analýzu, pomoci s návrhem payloadů nebo připravit report, ale nerozhodne o tom, jestli je test úplný a správně vyhodnocený.

Proto v Penterep nestavíme AI proti checklistu. AI je součástí workflow, které zůstává auditovatelné a řízené člověkem. Tester využívá AI jako akcelerátor, ale odpovědnost za kvalitu a úplnost výsledku zůstává na jasně definovaném procesu.

Rychlost a hloubka nejsou v konkurenci

Je svádivé představit si bezpečnost jako volbu mezi rychlostí AI nástrojů a hloubkou metodického pentestu. Ve skutečnosti to ale není volba, ale uspořádání. Automatizace přináší rychlost a frekvenci, strukturovaný pentest přináší hloubku, doložitelnost a obhajitelnost.

Organizace, která tyto dva přístupy propojí, získává bezpečnostní proces pod kontrolou v plné šíři. Ta, která vsadí jen na rychlost, riskuje, že nebude schopná svůj přístup obhájit ve chvíli, kdy na tom bude záležet.

Správná cesta není volba mezi člověkem a AI

Nejde o souboj. AI je akcelerátor, ne náhrada rozhodování. Checklist je rámec, který této rychlosti dává směr a zajišťuje, že výsledek obstojí i v čase.

V Penterep s tímto principem pracujeme dlouhodobě. Bezpečnost se neměří aktivitou, ale řízeným procesem. A právě v době, kdy AI zrychluje vše ostatní, se tento princip ukazuje jako klíčový rozdíl mezi skutečně řízenou bezpečností a pouhou iluzí kontroly.

Pentest v době AI není o tom, kolik nálezů vytvoříte za hodinu. Je o tom, jestli dokážete přesně doložit, co bylo testováno, jak a proč. A právě v tom se dnes láme rozdíl mezi formálním splněním požadavků a skutečně funkční bezpečností.

Nedávné příspěvky

Penterep na Hacking Days: Jak studenti Univerzity obrany trénují reálný penetrační test

Novinky

Penterep na Hacking Days: Jak studenti Univerzity obrany trénují reálný penetrační test

Soutěž Hacking Days na Univerzitě obrany už dávno není jen technickou disciplínou. Studenti si tu na vlastní kůži zkoušejí to, co je čeká v praxi.

Pavel Hanuš
Pavel Hanuš
13.05.2026
Checklist v penetračním testování: proč na něm záleží víc, než si myslíte

Novinky

Checklist v penetračním testování: proč na něm záleží víc, než si myslíte

V tomto článku chceme vysvětlit, proč jsou checklisty v penetračním testování mnohem důležitější, než se na první pohled zdá, jak je vnímáme my v Penterep, jaké checklisty už dnes nabízíme a co chystáme dál.

Daniel Grunwald
Daniel Grunwald
11.05.2026
Jak rozšířit své služby o penetrační testování a využít rostoucí poptávku

Novinky

Jak rozšířit své služby o penetrační testování a využít rostoucí poptávku

Kybernetická bezpečnost se stává jednou z nejrychleji rostoucích oblastí IT služeb.

Pavel Hanuš
Pavel Hanuš
30.04.2026