Hacker News · 21.06.2026 ·ИИ в бизнесе

Эффективность LLM при аудите безопасности кода на Rust

Исследование применения больших языковых моделей для поиска уязвимостей в языке программирования Rust показало неожиданно высокие результаты. Несмотря на встроенные механизмы безопасности Rust, такие как проверка владения памятью, критические ошибки все еще могут возникать в блоках unsafe или при использовании небезопасных API. Использование специализированных промптов и итеративного анализа позволяет нейросетям находить сложные логические дефекты, которые часто пропускают традиционные статические анализаторы.

В ходе экспериментов модели успешно идентифицировали ошибки переполнения, некорректную работу с конкурентностью и уязвимости в логике обработки данных. Ключевым фактором успеха стало использование контекстного анализа, при котором модель получает доступ не только к конкретному файлу, но и к связанным модулям проекта. Это позволяет ИИ понимать архитектурные связи и выявлять цепочки вызовов, ведущие к потенциальным сбоям в безопасности.

Результаты подтверждают, что LLM могут выступать в роли эффективного дополнения к инструментам автоматизированного тестирования и ручному аудиту. Интеграция таких решений в пайплайны разработки позволяет значительно сократить время на первичный поиск багов, позволяя инженерам сосредоточиться на устранении наиболее критических проблем. Метод демонстрирует потенциал ИИ в автоматизации процессов обеспечения качества программного обеспечения в высоконагруженных и критически важных системах.

Источник: Hacker News

Похожие материалы

arXiv · Оценка и бенчмарки Новый бенчмарк CWE-Trace для проверки навыков LLM в поиске уязвимостей Исследователи представили фреймворк CWE-Trace, предназначенный для оценки способности больших языковых моделей обнаруживать уязвимости в системном программном обеспечении. Основная проблема существующих решений заключается в том, что модели часто показывают высокие результаты на тестах лишь благодаря заучиванию данных, а не реальному пониманию принципов безопасности. Новый набор данных включает 834 тщательно отобранных примера из ядра Linux, охватывающих 74 типа типичных ошибок программирования (CWE). arXiv · Машинное обучение OpenAnt: новый подход к автоматическому поиску уязвимостей в коде с помощью LLM Исследователи представили OpenAnt — фреймворк для автоматизированного поиска уязвимостей в крупных репозиториях программного обеспечения. Система объединяет возможности больших языковых моделей с методами декомпозиции кода, состязательной верификации и динамического тестирования. Такой подход позволяет преодолеть ограничения традиционных инструментов статического анализа, которые часто выдают избыточное количество ложноположительных срабатываний, и динамических фаззеров, требующих сложной инфраструктуры. arXiv · Модели и релизы Новый метод обнаружения ошибок в цепочках рассуждений LLM Исследователи из MIT и Университета Карнеги-Меллона предложили новый подход к выявлению ошибок в цепочках рассуждений языковых моделей (LLM) без использования меток. Их метод, основанный на операдной теории, позволяет обнаруживать несоответствия в логических цепочках, которые модели строят при решении сложных задач. arXiv · Исследования и наука ИИ автоматизирует проверку воспроизводимости исследований Учёные из Гарварда и MIT разработали метод, позволяющий использовать большие языковые модели (LLM) для автоматизированной оценки воспроизводимости исследований в социальных и поведенческих науках. Обычно проверка воспроизводимости требует ручного анализа данных независимыми исследователями, что занимает много времени и ресурсов. Новый подход позволяет значительно ускорить этот процесс, применяя LLM для анализа опубликованных данных и оценки их достоверности. Hacker News · Память и RAG Как LLMs меняют работу инженеров Исследование компании Aha.io показывает, как языковые модели меняют подходы инженеров к разработке. По данным опроса, 78% инженеров используют LLMs для генерации кода, 65% — для отладки, а 52% — для проектирования архитектуры. Это существенный сдвиг в индустрии, который требует пересмотра процессов и инструментов. Hacker News · Исследования и наука Исследование: насколько можно доверять LLM при анализе данных (EDA) Исследователи проанализировали применимость больших языковых моделей для проведения разведочного анализа данных (EDA). В работе оценивается способность ИИ-агентов самостоятельно выполнять стандартные этапы работы с датасетами: от первичной очистки и выявления пропусков до построения статистических гипотез и визуализации распределений. Авторы статьи сфокусировались на том, насколько точно модели интерпретируют структуру табличных данных и избегают галлюцинаций при генерации кода для анализа. Hacker News · Оценка и бенчмарки Как оценивают LLM-судей с помощью возмущающих тестов Компания Forus представила метод оценки LLM-судей на основе возмущающих тестов. Подход позволяет проверять устойчивость моделей к различным типам искажений и ошибок, что критично для их использования в агентных системах. Hacker News · Безопасность и алайнмент Выпущен инструмент AICU для автоматизированного поиска уязвимостей в LLM Представлен проект AICU — специализированный сканер для поиска уязвимостей в больших языковых моделях (LLM). Инструмент предназначен для проведения автоматизированного «красного тестирования» (red teaming), позволяя выявлять слабые места в защите моделей, которые могут привести к генерации нежелательного контента или обходу установленных ограничений безопасности. arXiv · Безопасность и алайнмент GAS-Leak-LLM: генетический алгоритм для взлома LLM Исследователи из Университета Торонто и MIT представили новый метод взлома языковых моделей (LLM) — GAS-Leak-LLM. Этот подход использует генетические алгоритмы для оптимизации суффиксов в запросах, что позволяет обходить механизмы защиты и получать нежелательные ответы от моделей. Авторы демонстрируют, что даже хорошо защищённые коммерческие системы уязвимы к таким атакам. Hacker News · ИИ в бизнесе Влияние ИИ-инструментов на скорость разработки и качество кода Исследование процесса разработки с использованием ИИ-ассистентов выявило неоднозначные результаты в контексте жизненного цикла программного обеспечения. Хотя внедрение нейросетей позволяет значительно ускорить написание первичного кода и сократить время на создание MVP, общая производительность команды не всегда растет пропорционально. Основной точкой торможения становится этап ревью: из-за возросшего объема кода, генерируемого ИИ, разработчикам требуется больше времени на проверку правок и поиск логических ошибок.

← Все материалы