Vigolium verbindet Webscanner mit agentischer Sicherheitspruefung

Worum es geht

Vigolium ist ein Open-Source-Vulnerability-Scanner fuer Webanwendungen. Das Projekt wurde im Mai 2026 von Help Net Security als neues Open-Source-Security-Tool vorgestellt und ist auf GitHub sowie ueber die eigene Dokumentation verfuegbar.

Der Grund, warum das Tool auffaellt: Vigolium verbindet deterministische Scan-Module mit agentischen Prueflaeufen. Es ist also nicht nur ein Chatbot, der Code liest, und nicht nur ein klassischer Scanner, der eine Liste bekannter Checks abarbeitet.

Was Vigolium tatsaechlich macht

Laut README bietet Vigolium einen Native Scan und mehrere Agent-Modi. Der Native Scan arbeitet mit mehr als 235 beziehungsweise in neueren README-Angaben mehr als 250 Modulen fuer aktive und passive Pruefungen. Die Agent-Modi koennen Endpunkte entdecken, Module auswaehlen, Scans planen, Ergebnisse triagieren und Code-Audits einbeziehen.

Praktisch heisst das: Ein Team kann eine URL, eine API oder ein Repository pruefen lassen und den Scan je nach Ziel begrenzen. Beispiele in der Dokumentation zeigen native Scans, Autopilot, Swarm und Audit-Modi. Die Lizenz ist GNU AGPL v3.0, was fuer Unternehmen wichtig ist, die Veraenderungen verteilen oder als Service betreiben wollen.

Warum das wichtig ist

Security-Teams stehen 2026 zwischen zwei unbefriedigenden Extremen. Klassische Scanner sind schnell und reproduzierbar, uebersehen aber oft Kontext. LLM-gestuetzte Reviews koennen Kontext erfassen, sind aber schwerer zu begrenzen und zu beweisen. Vigolium versucht, beide Seiten zusammenzubringen: feste Module fuer Geschwindigkeit und Nachvollziehbarkeit, Agenten fuer Planung, Erkundung und Triage.

Das ist kein Ersatz fuer Penetrationstests. Es ist eher ein Werkzeug fuer Vorpruefungen, wiederholbare AppSec-Routinen und Change-orientierte Checks. Besonders interessant ist die ausdrueckliche Warnung des Projekts: Agent Mode laeuft ohne Sandbox und kann Shell-, Datei- und Netzwerkzugriff auf dem Host haben. Diese Ehrlichkeit macht das Tool nuetzlicher, weil Teams den Betrieb sauber einhegen koennen.

Einfach erklaert

Stell dir eine Sicherheitsbegehung in einem Gebaeude vor. Ein normaler Scanner geht mit einer festen Checkliste durch die Raeume. Ein Agent schaut zusaetzlich, welche Tueren zusammenhaengen, welche Wege ein Eindringling nehmen koennte und welche Funde wirklich zusammenpassen. Vigolium versucht, beides in einem Rundgang zu verbinden.

Praktisches Beispiel

Ein SaaS-Team moechte vor einem Release den Authentifizierungsbereich pruefen. Es laesst einen Native Scan gegen https://staging.example.com laufen und beschraenkt den Agentic Scan auf Auth-Bypass. Der Scanner findet 18 Hinweise, der Agent triagiert 5 als relevant und verknuepft einen API-Endpunkt mit einer Rollenpruefung im Repository. Das Team bekommt keine Garantie, aber eine bessere Startliste fuer manuelle AppSec-Arbeit.

Einordnung und Grenzen

• Agent Mode ist riskant. Das Projekt warnt selbst vor fehlender Sandbox; Tests gehoeren in Container oder VMs mit klarer Scope-Begrenzung.
• LLM-gestuetzte Triage kann falsch liegen. Kritische Funde muessen reproduziert und manuell bewertet werden.
• Die AGPL-Lizenz ist stark. Unternehmen sollten vor interner Anpassung, SaaS-Betrieb oder Weitergabe klaeren, ob die Lizenzpflichten passen.

SEO- und GEO-Schluesselbegriffe

Vigolium, agentic vulnerability scanner, AI security tool, AppSec, web vulnerability scanner, AGPL security tool, OWASP Top 10, SAST, endpoint discovery, security automation, penetration testing workflow, DevSecOps