Рой ИИ-агентов Cognition будет чинить уязвимости, которые наплодили другие ИИ-агенты
Компания Cognition, разработчик ИИ-инженера Devin, представила Devin Security Swarm — инструмент для команд безопасности, построенный на рое параллельных агентов. Система ищет уязвимости по всей кодовой базе, проверяет, действительно ли их можно эксплуатировать, воспроизводя атаку в изолированной песочнице, а затем сама пишет патч и открывает pull request на ревью.
Запуск Cognition объясняет проблемой, которую во многом создал сам ИИ: агенты генерируют код быстрее, чем команды безопасности успевают его проверять. По данным компании, число находок сканеров у энтерпрайз-клиентов за полгода выросло примерно с 1000 до более чем 10 000 в месяц — отчасти потому, что 42% кода теперь пишется с помощью ИИ или полностью им. Некоторые команды видят рост числа находок в 10-100 раз, причем значительная часть — ложные срабатывания.
Под капотом — архитектура Agentic MapReduce. Рой агентов параллельно исследует сегменты кодовой базы, каждый рассуждает сразу о нескольких файлах — это позволяет ловить ошибки бизнес-логики, обходы авторизации и цепочки эксплойтов, растянутые между сервисами. Затем Devin собирает разрозненные находки в полные пути атаки и воспроизводит каждый в песочнице. Команде безопасности достаются только подтвержденные уязвимости — с описанием атаки, шагами воспроизведения и готовым патчем.
Свою эффективность Cognition подкрепляет бенчмарком из 50 реальных уязвимостей, привязанных к опубликованным GitHub Security Advisories, в репозиториях на 14 языках — от Go и Python до Elixir и Dart. Devin Security Swarm нашел 36 из 50 (72%), Claude Security — 34, Codex Security — 24, Cursor Security — 13. При этом стоимость находки у Devin на 30% ниже, чем у ближайшего по точности конкурента.
Три критические уязвимости из набора нашел
Читать на habr.com
