ყოველწლიურად უსაფრთხოების გუნდები სულ უფრო ჩამორჩებიან: კოდის მოცულობა უფრო სწრაფად იზრდება, ვიდრე მისი ხაზ-ხაზ შემმოწმებელი ადამიანების რაოდენობა. AI კოდის უსაფრთხოების აუდიტი — როცა AI აგენტები სკანირებენ საწყის კოდს დაუცველობებზე ისე, როგორც ამას ადამიანი უსაფრთხოების მკვლევარი გააკეთებდა — ამ ხარვეზის შევსების უახლესი მცდელობაა. ცნობილი, „ცუდი“ შაბლონების ფიქსირებულ კატალოგთან შედარების ნაცვლად, AI აგენტი კითხულობს რეპოზიტორიას, თვალყურს ადევნებს, როგორ მოძრაობს მონაცემები ფუნქციებს შორის, და თავად აფასებს, რომელი ხარვეზია რეალური საფრთხე — შემდეგ კი ადამიანს გადასცემს კონკრეტულ ფაილს, ხაზის ნომერსა და შემოთავაზებულ გამოსწორებას შესამოწმებლად.
რით განსხვავდება ეს ჩვეულებრივი უსაფრთხოების სკანერისგან?
დღემდე გავრცელებული ხელსაწყოების უმეტესობა ეყრდნობა სტატიკურ ანალიზს (SAST): სკანერი კოდს ადარებს ცნობილი დაუცველი შაბლონების ბიბლიოთეკას — მაგალითად, სტრიქონების გაერთიანებით აგებულ SQL მოთხოვნას ან შემოწმების გარეშე გადაცემულ შესატანს გარსის ბრძანებაში. SAST სწრაფი და პროგნოზირებადია, მაგრამ ვიწროც — ის აღმოაჩენს მხოლოდ იმას, რისთვისაც არის აგებული, დანარჩენზე კი დუმს, მათ შორის იმ ხარვეზებზეც, რომლებიც მხოლოდ კოდის დანიშნულების გაგების შემდეგ ჩანს.
AI-ზე დაფუძნებული აუდიტი SAST-ს პირველ საფეხურად ინარჩუნებს — სასწრაფოდ გამოსავლენად — მაგრამ მას ამატებს მეორე საფეხურს, სადაც AI აგენტი რეალურად აანალიზებს მონიშნულ კოდს: ვინ იძახებს ამ ფუნქციას, საიდან მოდის შესატანი საბოლოო ჯამში, ხელმისაწვდომია თუ არა ეს მომხმარებლისთვის, ვისაც წვდომა არ უნდა ჰქონდეს. სწორედ ამის წყალობით ხერხდება იმ ტიპის ხარვეზების დაჭერა, რომლებსაც SAST ჩვეულებრივ გამოტოვებს — ბიზნეს-ლოგიკის ხარვეზები და წვდომის კონტროლის დარღვევები, სადაც კოდი თავისთავად „მცდარი“ არ არის, მაგრამ კონტექსტში მცდარი ხდება.
როგორ მუშაობს ეს რეალურად
პრაქტიკაში გამოყენებული მიდგომა — Anthropic-ის Claude Code Security-ის მაგალითზე — ორსაფეხურიანია. პირველ ეტაპზე წესებზე დაფუძნებული სისტემა სკანირებს ყველა რეპოზიტორიას და აღნიშნავს ყველაფერს, რაც ცნობილ დაუცველ შაბლონს ემთხვევა. მეორე ეტაპზე AI აგენტი ამოწმებს თითოეულ აღნიშნულ შემთხვევას, თვალყურს ადევნებს, როგორ უკავშირდება ის აპლიკაციის დანარჩენ ნაწილს, და ან ადასტურებს რეალურ, გამოსაყენებელ ხარვეზად, ან უარყოფს ცრუ სიგნალად — ზუსტი ფაილისა და ხაზის მითითებით, რათა დეველოპერმა თავად გადაამოწმოს დასკვნა. თითოეულ აღმოჩენას ერთვის სანდოობის შეფასება და სიმძიმის დონე. არაფერი გამოიყენება ავტომატურად — საბოლოო გადაწყვეტილებას შემოთავაზებული შესწორების მიღებაზე მაინც ადამიანი დეველოპერი იღებს.
დიდი ორგანიზაციებისთვის მთავარი უპირატესობა პარალელურობაა. ერთი ინჟინრის მიმდევრობითი მუშაობის ნაცვლად, ათობით აგენტს შეუძლია ერთდროულად აიღოს კოდის ბაზის საკუთარი ნაწილი — რის შედეგადაც სკანირება, რომელსაც ერთ გუნდს წლები დასჭირდებოდა, საათებამდე იკლებს.
რატომ აქვს ამას მნიშვნელობა
ყველაზე თვალსაჩინო საჯარო მაგალითი ალბერტას პროვინციის მთავრობაა, რომელმაც Claude Code გამოიყენა 27 პროვინციული სამინისტროს სისტემებში 466 მილიონი ხაზის კოდის შესამოწმებლად — სამუშაო, რომელიც დაახლოებით 50 პარალელურად მომუშავე აგენტმა 20 საათში დაასრულა. ალბერტას საკუთარი შეფასებით, იგივე მოცულობის ტრადიციული, ხელით შემოწმება დაახლოებით 6.5 წელს წაიღებდა. წაიკითხეთ ჩვენი სტატია ალბერტას აუდიტის შესახებ.
ეს სისწრაფე მნიშვნელოვანია, რადგან შეუმოწმებელი კოდი ზუსტად ისაა, რასაც „ნულოვანი დღის“ დაუცველობის ექსპლუატაცია ეყრდნობა — ხარვეზი, რომელიც ჯერ არავის უპოვია და გამოუსწორებია. მთავრობებსა და დიდ კომპანიებს, ჩვეულებრივ, იმაზე მეტი მემკვიდრეობითი კოდი აქვთ, ვიდრე ოდესმე შეძლებენ სრულად ხელით შემოწმებას — ამიტომ სწრაფი პირველადი შემოწმება ნიშნავს, რომ მეტი კოდი საერთოდ ხვდება რაიმე შემოწმების ქვეშ.
რას ვერ აკეთებს ჯერ კიდევ სწორად
AI-ზე დაფუძნებული აუდიტი არ ცვლის არც პროგნოზირებად ხელსაწყოებს და არც ექსპერტის შეფასებას. აგენტური დაუცველობის აღმოჩენაზე ჩატარებულმა დამოუკიდებელმა კვლევებმა აჩვენა, რომ წვდომის უფლებამოსილების ხარვეზები და რთული ბიზნეს-ლოგიკური პრობლემები კვლავ ყველაზე რთული კატეგორიაა AI-სთვის საიმედოდ დასაჭერად, ხოლო ცრუ სიგნალები საკმარისად ხშირია იმისთვის, რომ ადამიანის შემმოწმებელი აუცილებელი, და არა არჩევითი, საფეხური დარჩეს. ამჟამინდელი საუკეთესო პრაქტიკა წესებზე დაფუძნებულ SAST-ს აფუძნებლად ტოვებს და AI აგენტებს იყენებს დამატებით — გადარჩევისა და სიღრმისეული შემოწმებისთვის, ერთი მეორის ნაცვლად კი არა, არამედ ერთად.
საიდან დავიწყოთ
AI კოდის აუდიტის ხელსაწყოები მიმართულია უსაფრთხოებისა და საინჟინრო გუნდებზე, არა ცალკეულ დამწყებ დეველოპერებზე. Anthropic-ის Claude Code Security ამჟამად საჯარო ბეტა-ვერსიაშია Claude Enterprise-ის მომხმარებლებისთვის, Team და Max გეგმებზეც მისი გამოჩენა იგეგმება; წვდომა ირთვება ადმინისტრატორის კონსოლიდან, ცალკე რეგისტრაციის გარეშე, ხოლო ფასი ცალკე კი არა — Enterprise გეგმაშია ჩართული (2026 წლის ივლისის მდგომარეობით, Anthropic-ის პროდუქტის გვერდის მიხედვით); სხვა მომწოდებლების ხელსაწყოებზე მომუშავე გუნდებმა საკუთარ მომწოდებელს უნდა შეხედონ ანალოგიური წვდომისთვის. საიტზე უკვე გვაქვს განმარტება — რა არის Claude Code — სადაც აღწერილია ის კოდირების აგენტიც, რომელზეც ეს აუდიტები მუშაობს.
ხშირად დასმული კითხვები
ცვლის თუ არა AI-ზე დაფუძნებული აუდიტი ჩვეულებრივ უსაფრთხოების სკანერებს?
არა. დღეს არსებული სისტემები წესებზე დაფუძნებულ სკანერს პირველ საფეხურად იყენებენ და მას ამატებენ AI აგენტს, როგორც მეორე, ანალიტიკურ ფენას — ისინი საუკეთესოდ ერთად მუშაობენ, ერთმანეთის ჩამნაცვლებლად კი არა.
შეუძლია AI-ს ავტომატურად გამოასწოროს ნაპოვნი ხარვეზები?
დღეს ხელმისაწვდომ ხელსაწყოებში — არა. აგენტი გვთავაზობს შესწორებას და თავის დასკვნას ასაბუთებს, მაგრამ ცვლილების დამტკიცებამდე მას აუცილებლად ამოწმებს ადამიანი დეველოპერი.
რა ტიპის ხარვეზების პოვნაში არის AI განსაკუთრებით ეფექტური?
განსაკუთრებით კარგად ხერხდება იმ ხარვეზების პოვნა, რომლებიც კონტექსტის გაგებას საჭიროებს — მაგალითად, წვდომის კონტროლის ხარვეზები — და არა ის ხარვეზები, რომლებიც მხოლოდ იზოლირებულ კოდის სტრიქონებში ჩანს.
სასარგებლოა ეს მხოლოდ უზარმაზარი კოდის ბაზებისთვის?
განსაკუთრებით კარგად მასშტაბირდება დიდი, ძველი კოდის ბაზებისთვის, სადაც ხელით შემოწმება პრაქტიკულად შეუძლებელია, მაგრამ იგივე მიდგომა ნებისმიერი ზომის აუდიტზეც მუშაობს.
წყაროები: ალბერტას მთავრობის კიბერუსაფრთხოების ინიციატივა, Claude Code Security-ის მიმოხილვა, Claude Code Security-ის პროდუქტის გვერდი.