Добавить в корзинуПозвонить
Найти в Дзене
IT Russia brief
51 подписчик

В России ИИ-анализатор найдёт ошибки в коде, созданном с помощью ИИ

1
1 мин
В России разработали инструмент, который помогает проверить на предмет безопасности код, сгенерированный языковыми моделями. AppSec.Track стал первым отечественным SCA-анализатором, интегрированным напрямую в диалоговое окно ИИ-ассистента для разработчиков. SCA-анализаторы применяются для проверки наличия сторонних библиотек и вредоносных пакетов в коде. Они ищут уязвимости, устаревшие версии библиотек и потенциально опасные компоненты. Раньше проверки запускались в стороннем приложении уже после написания кода. Теперь AppSec.Track интегрировал контроль прямо в диалоговое окно разработчика с ИИ. Программа работает через протокол MCP, Model Context Protocol. Он позволяет ИИ-ассистенту по запросу разработчика отправлять сгенерированный код на проверку. AppSec.Track анализирует используемые пакеты, сверяет их с базами уязвимостей, проверяет, существуют ли такие библиотеки вообще, и оценивает их актуальность. Если модель «придумала» библиотеку, как это часто бывает, или предложила небезопа
Оглавление

В России разработали инструмент, который помогает проверить на предмет безопасности код, сгенерированный языковыми моделями. AppSec.Track стал первым отечественным SCA-анализатором, интегрированным напрямую в диалоговое окно ИИ-ассистента для разработчиков.

Проверка «не отходя от кассы»

SCA-анализаторы применяются для проверки наличия сторонних библиотек и вредоносных пакетов в коде. Они ищут уязвимости, устаревшие версии библиотек и потенциально опасные компоненты.

Раньше проверки запускались в стороннем приложении уже после написания кода. Теперь AppSec.Track интегрировал контроль прямо в диалоговое окно разработчика с ИИ.

Критикуя – предлагай

Программа работает через протокол MCP, Model Context Protocol. Он позволяет ИИ-ассистенту по запросу разработчика отправлять сгенерированный код на проверку. AppSec.Track анализирует используемые пакеты, сверяет их с базами уязвимостей, проверяет, существуют ли такие библиотеки вообще, и оценивает их актуальность. Если модель «придумала» библиотеку, как это часто бывает, или предложила небезопасную версию, система это сразу подсвечивает фрагмент кода и предлагает корректный вариант.

Для начинающих кодеров

Это особенно важно для low-code и vibe-coding сценариев. В них разработчик обычно принимает код от ИИ «на веру», так как сам не обладает специальными знаниями. На деле языковые модели могут рекомендовать устаревшие библиотеки, уязвимые версии или даже несуществующие пакеты (те самые «галлюцинации»). Случаи уже описаны в исследованиях GitHub, OpenSSF и OWASP. Исследователи отдельно выделили риск галлюцинаций LLM при работе с open source.

Без знаний ИИ не работает

По словам директора по продукту AppSec.Track Константина Крючкова, современные AI-редакторы умеют писать код и находить синтаксические ошибки.

«Но им нужна надежная база знаний по безопасности. Эту роль и берет на себя SCA-анализатор, включая учет внутренних требований конкретной компании», - заключил Крючков.

Антон Башарин из AppSec Solutions отмечает:

«Функционально такой код может работать корректно, но содержать логические ошибки, SQL-инъекции или небезопасные зависимости. Поэтому использование ИИ не отменяет практики DevSecOps, а требует их усиления».

Новый инструмент поможет командам разработчиков, которые внедряют ИИ-ассистентов в повседневную работу. Он позволяет существенно снизить риски при работе со сгенерированным кодом.