В России представили мультиагентную систему для защиты кода от уязвимостей

Новые конкурентные преимущества

В основе платформы лежит российская система управления базами данных. Технологии вычислений в оперативной памяти позволяют увеличить скорость обработки операций в автоматизированной банковской системе как минимум в пять раз. Технологическое решение, ориентированное на рынок ИБ/DevSecOps, потенциально повышает качество безопасности кода в финансовых и других программных проектах.

Разработка демонстрирует зрелость в области применения ИИ и аналитики безопасности. Она ускорит автоматический анализ, уменьшит число ложных уязвимостей, а не реальных багов и снизит объём ручного аудита безопасности.

Обладатели ПО получат более надежный продукт с меньшим количеством уязвимостей. Для отрасли это открывает новые конкурентные преимущества и способствует продвижению отечественных инструментов, что актуально в условиях санкций и политики импортозамещения.

Доработка агентов и расширение функционала

В краткосрочной перспективе (1-2 года) развитие платформы будет сосредоточено на тестировании и пилотных проектах, особенно в сферах с высокими требованиями к безопасности, таких как финтех. Планируется интеграция с CI/CD-пайплайнами и DevOps-инструментами, а также автоматическое применение в сборках. Важным направлением является доработка агентов, а также возможности выявления уязвимостей «нулевого дня». Будет продолжена работа над улучшением фильтрации ложных срабатываний и повышением точности анализа.

В среднесрочной перспективе (3-5 лет) платформа будет масштабироваться для внедрения в широкие корпоративные проекты, возможно, с распространением в виде лицензируемого продукта или SaaS-сервиса. Рассматривается возможность объединения со средствами динамического анализа (DAST, IAST) и инструментами симуляции атак.

«Мы развиваем нашу Платформу FXL в парадигме AI-Native банковской платформы. Интеграция SAST-AI-агента от СберТеха с Платформой FXL позволила существенно повысить доверие к нашему программному коду и создать новую AI-синергию, которую мы готовы совместно предложить банковскому сообществу».

Аркадий Лобас

генеральный директор компании ФлексСофт:

Функциональность будет расширена за счет оценки зависимостей, сторонних (включая open-source) библиотек. Важным шагом станет сертификация и приведение в соответствие стандартам и нормативам безопасности (CWE, OWASP, ISO). При благоприятных условиях возможен экспорт или адаптация платформы для международных клиентов.

От анализа кода до рекомендаций по безопасности ИИ

Мультиагентные подходы уже исследуются в научной среде, а отечественные компании начинают их внедрение. Один из примеров — проект EvalSVA, посвящённый оценке уязвимости программного обеспечения с помощью многоагентных оценщиков. Цель — определить различные аспекты уязвимостей для разработчиков, чтобы эффективно расставить приоритеты в их устранении.  Примечательно, что в EvalSVA используются стратегии автономной оценки уязвимостей.

Другой пример — AutoSafeCoder. Это мультиагентная система для генерации безопасного кода и его последующего анализа включает три агента: генерации кода, статического анализа и fuzz-тестирования.

Российские инициативы в области SAST и DevSecOps уже используют ИИ-агенты и мультиагентные системы для анализа кода и интеграции ИИ в свою инфраструктуру. Примерами статического анализа кода служат классические инструменты SAST, такие как Cppcheck. Он применяется для анализа кода C/C++ с фокусом на ложные срабатывания. Другой известный коммерческий анализатор кода — Coverity, который проверяет различные языки.

В сентябре 2025 года Yandex B2B Tech представила рекомендации по безопасной разработке ИИ-агентов и мультиагентных систем. В число рекомендаций вошли: моделирование угроз и оценка рисков, контроль доступа и управление идентификацией агентов, обеспечение прозрачности и ведение журналов событий.

Прогресс в автоматизации безопасности

Появление мультиагентной системы для анализа кода на уязвимости – важный прогресс в автоматизации безопасности ПО с использованием искусственного интеллекта. В краткосрочной перспективе (1-2 года) ожидаются пилотные проекты в сферах с повышенными требованиями к безопасности, а также активная интеграция разрабатываемых решений с CI/CD-конвейерами.

Через несколько лет прогнозируется коммерциализация технологий в виде лицензий или SaaS-модели, выход на рынок DevSecOps и конкуренция с зарубежными аналогами. Мультиагентные системы, объединяющие статический, динамический и эмпирический анализ с автоматической генерацией исправлений, должны стать стандартом в автоматическом анализе безопасности кода.