Что такое AI Security Engineer и почему он изменит подход к разработке безопасного программного обеспечения?
На рынке появились первые по-настоящему работающие решения, использующие искусственный интеллект для обнаружения уязвимостей в исходном коде. Новое поколение систем AI-Sast — так называемые «Инженеры безопасности AI» — не только автоматизируют статический анализ, но и фактически имитируют образ мышления человека-аудитора, выявляя логические недостатки, архитектурные ошибки и несоответствия замыслов разработчика реализации.
Исследователь, тестировавший подобные продукты, сообщает, что сегодня они представлены лучше всего. Зеропат, Корхеа и АльманаксS Эти инструменты способны обнаруживать реальные уязвимости и ошибки, включая сложные ошибки бизнес-логики, без использования строгих правил подписи в течение нескольких минут. Они анализируют контекст, сравнивают функции, переменные и данные между файлами и даже генерируют возможные исправления кода. Уровень фейковых положительных результатов заметно ниже, чем у классических SAST-платформ.
AI-ENGINS этих систем работают по многоступенчатой схеме.S Сначала индексируют хранилище, строят абстрактное синтаксическое дерево и определяют назначение приложения. Затем они последовательно анализируют код — строку за порядком, функцию за функцией и файл-файл, применяя собственные алгоритмы поиска, эвристики и LLM-запросы. Последний этап включает в себя проверки на наличие уязвимостей, оценку серьезности и автоматический вывод результатов. Некоторые решения, такие как Zeropath, дополнительно анализируют зависимости, чтобы определить, влияет ли общедоступное CVE на конкретный проект, и генерируют отчеты на уровне SOC 2.
На испытаниях нулевой путь Он показал почти 100-процентное обнаружение тестовых уязвимостей и выявил более 50 новых проблем в публичных проектах, включая Curl, Sunda, Next.js, Avahi и Squid. К ним относятся переполнение буфера, некорректная обработка сертификатов, утечка памяти, некорректная проверка исключений и уязвимости в реализации TLS. Корхеа Он показал высокие результаты с кодом JavaScript и подробные отчеты с анализом ошибок, хотя было большое количество ложноположительных результатов. Альманакс Он показал себя полезным для поиска вредоносных фрагментов и простых ошибок внутри отдельных файлов, но хуже справляется с анализом межфайловых связей.
Несмотря на ограниченные возможности автоматической коррекции и редкие ошибки классификации, эффективность этих систем уже впечатляет. Они умеют проверять старые фрагменты кода, автоматически анализировать новые коммиты, интегрироваться в CI/CD и помогать разработчикам устранять уязвимости перед запуском продукта. При нынешней низкой цене эти решения становятся чрезвычайно доступным инструментом для пентенстеров и групп корпоративной безопасности.
Главный вывод заключается в том, что платформы AI-Sast станут одним из наиболее значительных технологических изменений в сфере кибербезопасности после возрождения фаззинга (Phase) в 2010 году.Да, полностью пентенстеров они не заменят, но большую часть рутинной работы они уже делают, улучшая качество кода и уменьшая количество критических уязвимостей.
