В России ИИ-анализатор найдёт ошибки в коде, созданном с помощью ИИ
Новый российский анализатор кода найдёт ошибки и уязвимости в коде прямо в диалоговом окне
В России разработали инструмент, который помогает проверить на предмет безопасности код, сгенерированный языковыми моделями. AppSec.Track стал первым отечественным SCA-анализатором, интегрированным напрямую в диалоговое окно ИИ-ассистента для разработчиков.
Проверка «не отходя от кассы»
SCA-анализаторы применяются для проверки наличия сторонних библиотек и вредоносных пакетов в коде. Они ищут уязвимости, устаревшие версии библиотек и потенциально опасные компоненты.
Раньше проверки запускались в стороннем приложении уже после написания кода. Теперь AppSec.Track интегрировал контроль прямо в диалоговое окно разработчика с ИИ.
Критикуя – предлагай
Программа работает через протокол MCP, Model Context Protocol. Он позволяет ИИ-ассистенту по запросу разработчика отправлять сгенерированный код на проверку. AppSec.Track анализирует используемые пакеты, сверяет их с базами уязвимостей, проверяет, существуют ли такие библиотеки вообще, и оценивает их актуальность. Если модель «придумала» библиотеку, как это часто бывает, или предложила небезопасную версию, система это сразу подсвечивает фрагмент кода и предлагает корректный вариант.
Для начинающих кодеров
Это особенно важно для low-code и vibe-coding сценариев. В них разработчик обычно принимает код от ИИ «на веру», так как сам не обладает специальными знаниями. На деле языковые модели могут рекомендовать устаревшие библиотеки, уязвимые версии или даже несуществующие пакеты (те самые «галлюцинации»). Случаи уже описаны в исследованиях GitHub, OpenSSF и OWASP. Исследователи отдельно выделили риск галлюцинаций LLM при работе с open source.
Без знаний ИИ не работает
По словам директора по продукту AppSec.Track Константина Крючкова, современные AI-редакторы умеют писать код и находить синтаксические ошибки.
Антон Башарин из AppSec Solutions отмечает:
Новый инструмент поможет командам разработчиков, которые внедряют ИИ-ассистентов в повседневную работу. Он позволяет существенно снизить риски при работе со сгенерированным кодом.
