Новая модель автоматически ищет в программном коде то, что может стать лазейкой для атак злоумышленников: пароли к базам данных, API-ключи, токены доступа. Традиционные сканеры на тех же задачах плохи тем, что не понимают контекст и находят все потенциальные угрозы (включая незначительные), отправляя их на ручную проверку. В итоге накапливается очередь из десятков тысяч предупреждений, которые нагружают живых сотрудников.
Эту проблему в компании попытались решить. Как сообщают в Авито, на разбор 50 тысяч находок у специалиста уходит почти полгода, а ИИ справляется за 6-8 часов и при этом обнаруживает 99 из 100 реальных угроз.
В основе решения лежит их LLM A-Vibe, обученная на тысячах примеров уязвимостей и работающая локально, чтобы избежать утечек кода. В отличие от алгоритмов с заданными правилами, A-Vibe учитывает контекст, отсеивает ложные срабатывания и правит код автоматически. Хотя ИИ пока не доверяют на 100% и оставили несколько уровней алгоритмов проверки, смотрят вручную и постоянно дообучают модель.
Дальше компания планирует использовать ИИ для автоматической оценки рисков при обновлениях кода и моделирования угроз ещё на этапе проектирования. Авито изучает применение технологии на всех этапах: от планирования проекта до анализа инцидентов. Узнать подробнее про ИИ в Авито можно из нашего ролика.