The Cloudflare Blog · 18.06.2026 ·ИИ в бизнесе

Cloudflare раскрыла архитектуру автоматизированной системы поиска уязвимостей

Cloudflare раскрыла архитектуру автоматизированной системы поиска уязвимостей

Компания Cloudflare представила технические детали своей многоступенчатой системы для поиска уязвимостей, работающей на базе автоматизированного цикла обработки данных. Решение позволяет выстраивать цепочки анализа, где ИИ-модели последовательно проверяют код на наличие брешей, минимизируя участие человека в рутинных операциях. Ключевым элементом архитектуры стала система управления состоянием, которая позволяет отслеживать прогресс анализа на разных этапах и эффективно обходить ограничения контекстного окна LLM.

Для борьбы с ложноположительными срабатываниями разработчики внедрили механизм состязательной проверки. В этой схеме результаты первичного сканирования проходят через дополнительный цикл верификации, где модель выступает в роли критика, оценивая достоверность найденных проблем. Такой подход значительно повышает точность отчетов и позволяет инженерам фокусироваться только на подтвержденных угрозах, исключая «шум» из процесса безопасности.

Реализованная инфраструктура демонстрирует практический подход к масштабированию ИИ-агентов в задачах кибербезопасности. Вместо использования одной модели для решения всей задачи, система разбивает процесс на специализированные этапы с четким разделением ответственности. Это позволяет гибко настраивать каждый узел пайплайна, оптимизируя использование вычислительных ресурсов и повышая общую надежность автоматизированного поиска уязвимостей в крупных программных проектах.

Источник: The Cloudflare Blog

Похожие материалы

Hacker News · Инфраструктура для агентов Cursor открыла исходный код системы безопасности на базе ИИ-агентов Команда Cursor представила набор специализированных ИИ-агентов, предназначенных для автоматизации процессов обеспечения безопасности кода. Разработка призвана решить проблему рутинной проверки уязвимостей, с которой сталкиваются разработчики при работе с крупными кодовыми базами. Инструменты теперь доступны в открытом доступе, что позволяет интегрировать их в сторонние рабочие процессы для автоматического сканирования и исправления типичных ошибок безопасности. Hacker News · Безопасность и алайнмент Выпущен инструмент AICU для автоматизированного поиска уязвимостей в LLM Представлен проект AICU — специализированный сканер для поиска уязвимостей в больших языковых моделях (LLM). Инструмент предназначен для проведения автоматизированного «красного тестирования» (red teaming), позволяя выявлять слабые места в защите моделей, которые могут привести к генерации нежелательного контента или обходу установленных ограничений безопасности. arXiv · Машинное обучение OpenAnt: новый подход к автоматическому поиску уязвимостей в коде с помощью LLM Исследователи представили OpenAnt — фреймворк для автоматизированного поиска уязвимостей в крупных репозиториях программного обеспечения. Система объединяет возможности больших языковых моделей с методами декомпозиции кода, состязательной верификации и динамического тестирования. Такой подход позволяет преодолеть ограничения традиционных инструментов статического анализа, которые часто выдают избыточное количество ложноположительных срабатываний, и динамических фаззеров, требующих сложной инфраструктуры. Hacker News · Инфраструктура для агентов Cloudflare представила платформу для развертывания ИИ-агентов Cloudflare анонсировала обновление стека Cloudflare One, направленное на упрощение развертывания и управления ИИ-агентами в корпоративной среде. Новое решение интегрирует инструменты безопасности, сетевую инфраструктуру и вычислительные мощности в единую экосистему, позволяя компаниям запускать агентные системы непосредственно на границе сети (edge). Такой подход минимизирует задержки при передаче данных между пользователем и моделью, что критически важно для интерактивных приложений. Hugging Face - Blog · Безопасность и алайнмент Исследование MosaicLeaks: уязвимости ИИ-агентов при работе с данными Исследователи представили проект MosaicLeaks, посвященный анализу безопасности автономных ИИ-агентов в условиях работы с конфиденциальными данными. В ходе экспериментов изучалось, насколько эффективно модели могут защищать приватную информацию при выполнении сложных задач, требующих доступа к внешним источникам и базам данных. Основное внимание было уделено сценариям, в которых агент может непреднамеренно раскрыть чувствительные сведения в процессе обработки запросов или при взаимодействии с API. Hacker News · Инфраструктура для агентов Реализация Human-in-the-Loop и механизмов безопасности в ИИ-агентах Создание автономных ИИ-агентов требует внедрения строгих механизмов контроля, особенно при выполнении действий, затрагивающих внешние системы. Ключевым подходом здесь становится архитектура Human-in-the-Loop (HITL), которая предполагает обязательное подтверждение оператором критических шагов перед их исполнением. Это позволяет минимизировать риски, связанные с галлюцинациями модели или неверной интерпретацией инструкций, обеспечивая прозрачность цепочки принятия решений. The Cloudflare Blog · Безопасность и алайнмент Как Cloudflare защищает от передовых киберугроз с помощью собственной архитектуры Cloudflare представила архитектуру Project Glasswing, которая фокусируется на защите от передовых киберугроз, а не на скорости исправления уязвимостей. В новом посте компания подробно описывает, как работает эта архитектура, какие угрозы она предотвращает и как сама Cloudflare использует её в качестве «нулевого клиента» для тестирования. Hacker News · Безопасность и алайнмент Безопасность ИИ-агентов зависит от чистоты входящих данных Новое исследование подчеркивает критическую проблему в безопасности автономных ИИ-систем: аудит самих моделей оказывается недостаточным, если не контролируются источники данных, на которых они обучаются или из которых получают контекст в реальном времени. Авторы работы доказывают, что злоумышленники могут использовать уязвимости в цепочке поставок данных, чтобы внедрять скрытые инструкции или искажать поведение агентов еще до того, как информация попадет в их рабочую память. Hacker News · Оркестрация агентов Методология ревью кода, написанного ИИ-агентами Разработка сложных агентных систем требует перехода от модели «запустил и забыл» к строгому контролю качества кода, генерируемого моделями. Основная проблема заключается в том, что агенты часто создают рабочие, но архитектурно слабые решения, которые сложно поддерживать в долгосрочной перспективе. Для решения этой задачи внедряется многоуровневый процесс проверки, где человек выступает в роли архитектора, анализирующего логику выполнения задач и структуру создаваемых модулей. arXiv · Безопасность и алайнмент Динамический анализ жизненного цикла для защиты ML-моделей Исследователи представили новый подход к обеспечению безопасности машинного обучения, направленный на выявление вредоносного кода, скрытого внутри весов и архитектур предобученных моделей. Традиционные методы защиты, основанные на статическом анализе форматов файлов и поиске известных сигнатур атак, часто оказываются неэффективными против современных угроз, способных обходить стандартные фильтры.

← Все материалы