GitHub · 15.06.2026 ·Инфраструктура для агентов

AutoCVE: агентная платформа для автоматизированного поиска уязвимостей в коде

AutoCVE — это агентная платформа, предназначенная для автоматизации процесса поиска уязвимостей в исходном коде. Система берет на себя полный цикл работы: от анализа кодовой базы и обнаружения потенциальных угроз до их верификации и формирования итоговых отчетов. Инструмент ориентирован на повышение эффективности аудита безопасности за счет использования автономных агентов.

Платформа выстраивает процесс аудита как последовательность агентных действий, что позволяет масштабировать проверку крупных репозиториев. В отличие от классических статических анализаторов, AutoCVE фокусируется на агентном подходе, где модель не просто сканирует код по заданным правилам, но и пытается верифицировать найденные уязвимости, снижая количество ложноположительных срабатываний.

Использование подобных систем позволяет командам безопасности интегрировать глубокий анализ кода непосредственно в CI/CD пайплайны. Автоматизация этапа верификации критически важна для снижения нагрузки на специалистов, так как позволяет отсеивать неактуальные находки до того, как они попадут в ручной разбор.

Ключевые факты

Платформа автоматизирует полный цикл: поиск, верификацию и генерацию отчетов по CVE.
Система использует агентную архитектуру для глубокого анализа исходного кода.
Основная цель проекта — снижение количества ложных срабатываний при поиске уязвимостей.
Инструмент предназначен для аудита безопасности и автоматизации процессов DevSecOps.

Источник: GitHub

Обсудить с ИИ

Похожие материалы

GitHub · Инфраструктура для агентов Cloudflare представила инструмент для автоматизированного аудита безопасности кода Cloudflare выпустила open-source решение security-audit-skill, предназначенное для интеграции в кодинг-агентов. Инструмент автоматизирует многоэтапный процесс проверки безопасности программного обеспечения, обеспечивая независимую верификацию результатов. Система генерирует машиночитаемые отчеты, что позволяет агентам не только находить уязвимости, но и структурированно обрабатывать их в рамках пайплайнов разработки, минимизируя участие человека в рутинных проверках. Hacker News · Инфраструктура для агентов Cursor открыла исходный код системы безопасности на базе ИИ-агентов Команда Cursor представила набор специализированных ИИ-агентов, предназначенных для автоматизации процессов обеспечения безопасности кода. Разработка призвана решить проблему рутинной проверки уязвимостей, с которой сталкиваются разработчики при работе с крупными кодовыми базами. Инструменты теперь доступны в открытом доступе, что позволяет интегрировать их в сторонние рабочие процессы для автоматического сканирования и исправления типичных ошибок безопасности. The Cloudflare Blog · ИИ в бизнесе Cloudflare раскрыла архитектуру автоматизированной системы поиска уязвимостей Компания Cloudflare представила технические детали своей многоступенчатой системы для поиска уязвимостей, работающей на базе автоматизированного цикла обработки данных. Решение позволяет выстраивать цепочки анализа, где ИИ-модели последовательно проверяют код на наличие брешей, минимизируя участие человека в рутинных операциях. Ключевым элементом архитектуры стала система управления состоянием, которая позволяет отслеживать прогресс анализа на разных этапах и эффективно обходить ограничения контекстного окна LLM. Hacker News · Безопасность и алайнмент OpenACA — сканер безопасности для стеков ИИ-агентов Разработчики представили OpenACA — инструмент для сканирования безопасности стеков ИИ-агентов. Платформа проверяет MCP-серверы, навыки и плагины на уязвимости, которые могут быть использованы злоумышленниками. Hacker News · Оркестрация агентов Автоматизация код-ревью через мультиагентный совет моделей Разработчики представили подход к автоматизации проверки кода, использующий «совет» из нескольких специализированных LLM. Вместо одной модели, анализирующей весь пул-реквест, система распределяет задачи между агентами с разными ролями — от поиска багов до проверки соответствия стилю и архитектурным паттернам. Такой подход позволяет снизить количество ложноположительных срабатываний и повысить глубину анализа изменений. Hacker News · Безопасность и алайнмент Уязвимость AutoJack: риск удаленного выполнения кода в ИИ-агентах Исследователи Microsoft обнаружили критическую уязвимость под названием AutoJack, которая позволяет злоумышленникам получить контроль над хост-системой, где запущен ИИ-агент. Проблема заключается в том, что агент может выполнить вредоносный код, просто посетив специально подготовленную веб-страницу. В процессе обработки контента страницы агент непреднамеренно интерпретирует скрытые инструкции как команды для выполнения в операционной системе. Hacker News · Инфраструктура для агентов Автоматизация бэкпортов в проекте Valkey с помощью ИИ-агентов Проект Valkey, развивающийся как открытая альтернатива Redis, внедрил агентную систему для автоматизации процесса переноса исправлений ошибок (бэкпортинга) между различными версиями кодовой базы. Ранее эта задача требовала значительных ручных усилий со стороны инженеров, что замедляло выпуск патчей для поддерживаемых релизов. Теперь специализированные ИИ-агенты анализируют коммиты в основной ветке, определяют применимость исправлений к старым версиям и самостоятельно формируют соответствующие пул-реквесты. Hacker News · ИИ в бизнесе Создание эффективных ИИ-агентов для тестирования на проникновение Разработка специализированных ИИ-агентов для пентестинга требует перехода от простых цепочек промптов к сложным архитектурам с глубоким контекстом. Современный подход фокусируется на интеграции агентов с инструментами сканирования уязвимостей, автоматизации этапов разведки и приоритизации векторов атак, что позволяет значительно сократить время на обнаружение критических брешей в безопасности корпоративных систем и инфраструктуры. Hacker News · Исследования и наука Исследование: эффективность ИИ-агентов в автоматизации ревью кода Новое исследование, опубликованное на платформе arXiv, анализирует потенциал специализированных ИИ-агентов в процессе проверки программного кода. Авторы работы сравнивают качество и скорость поиска уязвимостей, логических ошибок и несоответствий стандартам разработки при участии автоматизированных систем и квалифицированных инженеров. Результаты показывают, что современные агентные архитектуры способны обнаруживать критические дефекты с точностью, сопоставимой с экспертной оценкой, при значительном сокращении времени ожидания обратной связи. Hacker News · Инфраструктура для агентов Аудит действий ИИ-агентов в Git-репозиториях Автономные ИИ-агенты, наделенные доступом к системе контроля версий, создают новые риски безопасности и целостности кода. При выполнении задач по написанию или рефакторингу кода агенты могут совершать ошибки, внедрять уязвимости или нарушать структуру проекта, что требует внедрения строгих механизмов контроля и аудита всех вносимых ими изменений.

← Все материалы