В мире информационной безопасности постоянный поиск уязвимостей в программном коде является одной из ключевых задач, от качества решения которой зависит защита миллионов пользователей и бизнесов. Среди множества существующих инструментов для статического анализа кода (SAST), традиционные решения часто сталкиваются с ограничениями, особенно когда речь идет о сложных логических ошибках и многошаговых уязвимостях. На фоне этих вызовов компания Gecko Security, недавно запущенная и подкрепленная поддержкой Y Combinator F24, представляет инновационный подход, основанный на искусственном интеллекте, который меняет правила игры в выявлении угроз безопасности на уровне кода. Основатели Gecko Security — специалисты с опытом работы в национальной разведке и военных киберподразделениях — хорошо знакомы с недостатками существующих инструментов и разработали подход, значительно улучшающий точность и глубину анализа. Главная цель их решения — выявлять не только технические уязвимости типа XSS или SQL-инъекций, но и логические ошибки, которые часто остаются незамеченными традиционными сканерами.
Такие уязвимости могут включать обход аутентификации и авторизации, привилегированные эскалации и ошибки, связанные с бизнес-логикой, сложные для обнаружения без контекстного понимания. Одной из ключевых проблем традиционных SAST инструментов является их архитектура, основанная на упрощенных моделях кода, таких как абстрактное синтаксическое дерево (AST) или граф вызовов. Эти модели утрачивают контекст, особенно в динамически типизированных языках программирования или распределенных микросервисных архитектурах. Вследствие этого возможности инструментария ограничиваются выявлением базовых цепочек вызова, что не позволяет охватить сложные межфайловые и многокомпонентные уязвимости. Кроме того, традиционные решения часто опираются на паттерны в виде регулярных выражений или YAML-правил, которые хоть и эффективны для технических «классических» багов, разочаровывающе слабы в обнаружении бизнес-логических ошибок.
География инноваций Gecko Security начинается с разработки собственного точного индексатора кода, вдохновленного подходом GitHub Stack Graphs. Этот индексатор выходит за рамки стандартных AST, создавая компактное, эффективно сериализуемое в protobuf представление символов, их определения и ссылок с высокой семантической точностью. Такой подход позволяет навигацию и анализ кода на уровне, сходном с функционалом современных IDE, что значительно расширяет возможности для точного построения цепочек вызова и отслеживания потока данных в рамках всей кодовой базы. Важной особенностью является использование комплексного парсинга и типизации, позволяющего преобразовать динамические типы в статические отношения, что особенно ценно для языков с динамической типизацией, таких как JavaScript или Python. Это становится основой для корректной работы модели и подготовки контекста для дальнейшего анализа ИИ.
Искусственный интеллект в решении Gecko Security играет роль не только средства для поиска паттернов, но и инструмента для построения модели угроз и анализа намерений разработчиков. Система активно исследует доверительные границы, бизнес-логику и потенциальные сценарии атак, создавая предположения об уязвимостях. Особенность использования ИИ — его склонность к так называемым «галлюцинациям» — была обернута в преимущество, помогая генерации вариантов атаки, которые затем проходят систематическую проверку. Фундаментальный этап валидации найденных уязвимостей основан на применении алгоритма Монте-Карло с самокоррекцией (Monte Carlo Tree Self-refine, MCTSr) и так называемой функции выигрыша, оценивающей вероятность реальности гипотезы. Это помогает отфильтровывать ложные срабатывания и подтверждать те проблемы, которые действительно взломоопасны и реализуемы в реальных условиях.
Модель отдает отчет в вероятностных оценках, позволяя пользователям видеть уровень уверенности и приоритизировать исправления. Такая интеграция продвинутого индексатора и AI-анализа позволила Gecko Security обнаружить более 30 новых уязвимостей CVE в популярных open-source проектах, среди которых Ollama, Gradio и Ragflow, а также проблемы с бизнес-логикой в ONYX — платформе для корпоративного поиска. К примеру, в ONYX была выявлена уязвимость, при которой пользователи с ролью Curator могли модифицировать любые группы, а не только назначенные им, из-за отсутствия использования параметра пользователя в проверке разрешений. Решение Gecko установило, что разработчики предполагали ограничение доступа Curator, исходя из анализа UI и аналогичных правильно валидируемых API вызовов, что традиционные SAST инструменты не смогли обнаружить из-за отсутствия контекстного понимания межфайловых и бизнес-логических связей. Gecko Security уже используется в ряде крупных компаний и организаций, которые отмечают значительное сокращение ложных срабатываний – на 50% меньше по сравнению с традиционными SAST инструментами.
Более того, они обнаруживают уязвимости, которые раньше выявлялись только ручным пентестом, что значительно увеличивает безопасность и уменьшает затраты на аудит. Несмотря на значительные успехи, создатели инструмента признают, что идеальной точности достичь невозможно, ведь каждая среда разработки и проект уникальны. Для снижения числа ложных срабатываний компания применяет два основных подхода: сначала предотвращает программные ошибки парсинга, которые приводят к некорректному построению цепочек вызова, и далее ограничивает открытые вопросы для ИИ, задавая четкие и контекстные запросы, что минимизирует ошибочную генерацию и позволяет более уверенно оценивать безопасность. Дополнительно, пользователи получают детализированный анализ от источника до точки уязвимости, доказательства концепта и показатели уверенности, что облегчает ручную проверку и исправление проблем. Gecko Security продолжает расширять поддержку языков программирования, фокусируясь в первую очередь на веб-технологиях и динамических языках, где бизнес-логика играет критическую роль и требует тонкого анализа.
Разработка поддержки таких языков, как Elixir и Java, уже в планах компании. В обсуждениях в сообществе безопасности отмечается, что подход Gecko Security отличается от общих AI-инструментов для кода, таких как GitHub Copilot или прочие AI code review системы, которые не были разработаны с акцентом на безопасность и часто строят выводы на неполном или неструктурированном контексте. Безопасность и прозрачность — один из приоритетов компании, которая при работе с публичными репозиториями придерживается принципов ответственного раскрытия информации, уведомляя владельцев и поддерживая совместную работу над исправлениями. В заключение стоит подчеркнуть, что Gecko Security представляет собой важный шаг в эволюции инструментов анализа кода, предлагая баланс между технической точностью и интеллектуальным анализом на уровне бизнес-логики. Благодаря сочетанию продвинутого индексирования, эффективной сериализации данных и продуманных AI-методов, этот инструмент становится незаменимым помощником для организаций, стремящихся повысить уровень безопасности своих программных продуктов и сократить риски, связанные с уязвимостями, которые долгое время ускользали от внимания автоматизированных систем.
Развитие данной технологии обещает существенные изменения в подходах к обеспечению безопасности и может повлиять на будущее индустрии, делая обнаружение и устранение уязвимостей более проактивным и интеллектуальным. Для специалистов по безопасности, разработчиков и компаний, заинтересованных в современных решениях, Gecko Security открывает новые возможности, связывая опыт традиционных методов с преимуществами искусственного интеллекта.
