- 21,238
- 46
- 8 Ноя 2022
Что такое «AI Security Engineer» и почему он изменит подход к разработке безопасного ПО?
На рынке появились первые действительно работающие решения, использующие искусственный интеллект для поиска уязвимостей в исходном коде. Новое поколение AI-SAST-систем — так называемых «AI Security Engineers» — уже не просто автоматизирует статический анализ, а фактически имитирует мышление аудитора-пентестера, выявляя логические просчёты, архитектурные ошибки и несоответствия между намерением разработчика и реализацией.
Исследователь, протестировавший такие продукты, сообщил , что именно ZeroPath, Corgea и Almanax сегодня показывают наилучшие результаты. Эти инструменты способны за считанные минуты находить реальные уязвимости и ошибки, включая сложные дефекты бизнес-логики, без использования жёстких сигнатурных правил. Они анализируют контекст, сопоставляют функции, переменные и данные между файлами и даже формируют возможные исправления кода. Уровень ложных срабатываний при этом заметно ниже, чем у классических SAST-платформ .
ИИ-движки таких систем работают по многоступенчатой схеме. Сначала они индексируют репозиторий, строят абстрактное синтаксическое дерево и определяют назначение приложения. Затем последовательно анализируют код — построчно, по функциям и по файлам, применяя собственные поисковые алгоритмы, эвристики и LLM-запросы. На финальной стадии выполняется проверка достижимости уязвимостей, оценка серьёзности и автоматическая дедупликация результатов. Некоторые решения, например ZeroPath, дополнительно анализируют зависимости, определяя, влияют ли публичные CVE на конкретный проект, и формируют отчёты уровня SOC 2.
В ходе испытаний ZeroPath показал практически стопроцентное обнаружение тестовых уязвимостей и выявил более 50 новых проблем в открытых проектах, включая curl, sudo, Next.js, Avahi и Squid. Среди них — переполнения буфера, некорректная обработка сертификатов, утечки памяти, неверная проверка исключений и уязвимости в реализации TLS. Corgea продемонстрировала высокие результаты при работе с JavaScript-кодом и подробные отчёты с графами taint-анализа, хотя отличилась большим числом ложных срабатываний. Almanax оказался полезен при поиске вредоносных фрагментов и простых ошибок внутри отдельных файлов, но хуже справлялся с анализом межфайловых связей.
Несмотря на ограниченные возможности автоматического исправления и редкие ошибки классификации, эффективность таких систем уже впечатляет. Они способны проверять старые участки кода, автоматически анализировать новые коммиты, интегрироваться в CI/CD и помогать разработчикам устранять уязвимости до выхода релиза. При нынешней низкой стоимости такие решения становятся крайне выгодным инструментом для пентестеров и корпоративных команд безопасности.
Главный вывод автора обзора — AI-SAST-платформы станут одним из самых значимых технологических сдвигов в кибербезопасности со времён возрождения фаззинга в 2010-х. Они не заменят пентестеров полностью, но уже выполняют большую часть рутинной работы, повышая качество кода и сокращая число критических уязвимостей.
На рынке появились первые действительно работающие решения, использующие искусственный интеллект для поиска уязвимостей в исходном коде. Новое поколение AI-SAST-систем — так называемых «AI Security Engineers» — уже не просто автоматизирует статический анализ, а фактически имитирует мышление аудитора-пентестера, выявляя логические просчёты, архитектурные ошибки и несоответствия между намерением разработчика и реализацией.
Исследователь, протестировавший такие продукты, сообщил , что именно ZeroPath, Corgea и Almanax сегодня показывают наилучшие результаты. Эти инструменты способны за считанные минуты находить реальные уязвимости и ошибки, включая сложные дефекты бизнес-логики, без использования жёстких сигнатурных правил. Они анализируют контекст, сопоставляют функции, переменные и данные между файлами и даже формируют возможные исправления кода. Уровень ложных срабатываний при этом заметно ниже, чем у классических SAST-платформ .
ИИ-движки таких систем работают по многоступенчатой схеме. Сначала они индексируют репозиторий, строят абстрактное синтаксическое дерево и определяют назначение приложения. Затем последовательно анализируют код — построчно, по функциям и по файлам, применяя собственные поисковые алгоритмы, эвристики и LLM-запросы. На финальной стадии выполняется проверка достижимости уязвимостей, оценка серьёзности и автоматическая дедупликация результатов. Некоторые решения, например ZeroPath, дополнительно анализируют зависимости, определяя, влияют ли публичные CVE на конкретный проект, и формируют отчёты уровня SOC 2.
В ходе испытаний ZeroPath показал практически стопроцентное обнаружение тестовых уязвимостей и выявил более 50 новых проблем в открытых проектах, включая curl, sudo, Next.js, Avahi и Squid. Среди них — переполнения буфера, некорректная обработка сертификатов, утечки памяти, неверная проверка исключений и уязвимости в реализации TLS. Corgea продемонстрировала высокие результаты при работе с JavaScript-кодом и подробные отчёты с графами taint-анализа, хотя отличилась большим числом ложных срабатываний. Almanax оказался полезен при поиске вредоносных фрагментов и простых ошибок внутри отдельных файлов, но хуже справлялся с анализом межфайловых связей.
Несмотря на ограниченные возможности автоматического исправления и редкие ошибки классификации, эффективность таких систем уже впечатляет. Они способны проверять старые участки кода, автоматически анализировать новые коммиты, интегрироваться в CI/CD и помогать разработчикам устранять уязвимости до выхода релиза. При нынешней низкой стоимости такие решения становятся крайне выгодным инструментом для пентестеров и корпоративных команд безопасности.
Главный вывод автора обзора — AI-SAST-платформы станут одним из самых значимых технологических сдвигов в кибербезопасности со времён возрождения фаззинга в 2010-х. Они не заменят пентестеров полностью, но уже выполняют большую часть рутинной работы, повышая качество кода и сокращая число критических уязвимостей.
- Источник новости
- www.securitylab.ru
