Компания Mobb провела исследование эффективности ИИ-агентов в автоматическом устранении реальных уязвимостей безопасности в корпоративном коде. В ходе эксперимента агенты анализировали отчеты сканеров безопасности и генерировали готовые к интеграции патчи. Результаты показали, что современные агентные системы способны самостоятельно закрывать значительную часть критических дыр в безопасности, существенно сокращая время на ручную доработку кода разработчиками.
В рамках тестирования использовались реальные проекты, содержащие типичные уязвимости, такие как SQL-инъекции и небезопасная десериализация. Агенты не просто предлагали теоретические решения, а создавали работающие исправления, которые проходили проверку компиляцией и тестами. Это демонстрирует переход от простых чат-ботов, дающих советы, к автономным системам, способным выполнять прикладные задачи в рамках CI/CD пайплайнов.
Основная сложность заключалась в контекстуальном понимании архитектуры приложения. Агенты должны были учитывать зависимости и специфику бизнес-логики, чтобы патч не нарушал функциональность системы. Успешные кейсы подтверждают, что интеграция подобных решений в процесс разработки позволяет командам безопасности быстрее реагировать на угрозы, не отвлекая инженеров от написания новых фич.
Ключевые факты
- Агенты тестировались на способности исправлять уязвимости, выявленные стандартными инструментами статического анализа кода (SAST).
- Основной метрикой успеха стала возможность автоматической генерации патча, который проходит все существующие юнит-тесты проекта.
- Исследование показало, что автономные агенты способны снизить нагрузку на отделы безопасности на 30–50% при правильной настройке контекста.
- Главным барьером для внедрения остается необходимость глубокой интеграции агента в репозиторий для понимания связей между компонентами системы.