Опубликовано 24 марта 2026
GitHub научил свой сканер безопасности понимать код как человек
GitHub расширил возможности Code Security: теперь искусственный интеллект помогает находить уязвимости там, куда раньше статический анализ не добирался.
Безопасность 3 – 4 минуты чтенияКогда разработчики думают о безопасности кода, они обычно представляют автоматическую проверку перед отправкой изменений: инструмент пробегает по файлам, находит подозрительные места и сигнализирует. Примерно так и работает GitHub Code Security. Однако у классических подходов к такому анализу есть старая, хорошо известная проблема: они прекрасно находят то, что уже описано в правилах, и плохо справляются с чем-то непредвиденным или специфичным для конкретного проекта.
GitHub решил эту проблему, добавив в свой инструмент анализа кода уровень на основе искусственного интеллекта. Проще говоря, теперь рядом с классическим статическим анализатором работает модель, которая умеет рассуждать о коде и замечает то, что раньше пропускалось.
Два подхода лучше одного
Исторически основой Code Security был CodeQL – собственный движок GitHub для статического анализа. Он работает по принципу «опиши паттерн уязвимости – найди все совпадения в коде». Это мощный инструмент, но у него есть предел: он находит только то, для чего написаны правила. Новые классы уязвимостей, нестандартные фреймворки, редкие языки – всё это требует ручного написания новых правил, а это время и экспертиза.
Детекторы на основе искусственного интеллекта работают иначе. Вместо сопоставления с шаблоном модель анализирует контекст: как данные перемещаются через код, где они могут быть небезопасно обработаны, какие цепочки вызовов потенциально опасны. Это ближе к тому, как опытный разработчик читает чужой код в поисках проблем – не по чек-листу, а с пониманием логики.
Теперь два подхода работают вместе. CodeQL закрывает хорошо известные, формально описанные уязвимости. Искусственный интеллект берёт на себя то, что сложно формализовать заранее.
Больше языков, больше фреймворков
Одно из практических преимуществ добавления искусственного интеллекта – существенное расширение охвата. CodeQL хорошо работает с популярными языками, под которые написаны подробные наборы правил. Но мир разработки не ограничивается несколькими языками, и для многих из них детальная поддержка в статических анализаторах либо ограничена, либо отсутствует.
Детекторы на основе искусственного интеллекта менее зависимы от этого ограничения. Модель способна анализировать код на большем количестве языков и лучше справляется с многообразием фреймворков, включая те, которые используются в конкретном проекте и нигде больше.
Для команд, работающих не только на Java или Python, это ощутимая разница. Раньше приходилось либо мириться с неполным покрытием, либо тратить ресурсы на написание кастомных правил. Теперь часть этой работы берёт на себя модель.
Что это значит на практике
Если коротко: разработчики получают более полную картину потенциальных проблем безопасности без необходимости вручную настраивать каждый новый случай.
Это особенно актуально для больших кодовых баз, где трудно удержать в голове все зависимости и точки входа для потенциальных атак. Искусственный интеллект может отследить, как пользовательские данные проходят через несколько слоёв кода и в какой момент обработка становится небезопасной, даже если каждый отдельный фрагмент выглядит нормально.
Важно понимать, что это не замена процессу код-ревью и не гарантия отсутствия уязвимостей. Это дополнительный слой проверки, который снижает вероятность того, что что-то незамеченное попадёт в продакшн.
Куда движется инструментарий безопасности
В более широком контексте это часть заметного тренда: инструменты безопасности для разработчиков становятся умнее не за счёт большего количества правил, а за счёт способности рассуждать о коде.
GitHub – не единственная компания, которая движется в этом направлении. Но как платформа, на которой хранится огромная часть мирового кода, любые изменения в её инструментарии быстро сказываются на практиках целой индустрии.
Расширение детекторов на основе искусственного интеллекта в Code Security – шаг в сторону того, чтобы базовая безопасность кода перестала быть привилегией команд с отдельными специалистами по безопасности. Инструмент берёт на себя часть работы, которая раньше требовала глубокой экспертизы, и делает это прямо в процессе разработки, а не после.
Вам может быть интересно
События – лишь часть картины. Эти материалы помогают увидеть шире: контекст, последствия и идеи, стоящие за новостями.
ИИ: События
Безопасность
GitHub рассказал, как устроена защита агентных рабочих процессов: изоляция, ограниченные права и подробные логи для безопасной работы ИИ-агентов.
ИИ: События
Разработка
Mistral рассказала, как построить ИИ-агента, который сам пишет тесты для Ruby on Rails – туда, куда у разработчиков обычно не доходят руки.
ИИ: События
Безопасность
Разбираемся, какие угрозы несут автономные ИИ-агенты и как инженеры выстраивают защиту, чтобы системы не вышли из-под контроля.
Как создавался этот текст
Этот материал не является прямым пересказом исходной публикации. Сначала была отобрана сама новость – как событие, важное для понимания развития ИИ. Затем мы задали рамку обработки: что в тексте важно прояснить, какой контекст добавить и на чём сделать акцент. Это позволило превратить отдельный анонс или обновление в связный и осмысленный разбор.
Мы открыто показываем, какие модели использовались на разных этапах обработки. Каждая из них выполняла свою роль – анализ источника, переписывание, проверка и визуальная интерпретация. Такой подход позволяет сохранить прозрачность процесса и ясно показать, как именно технологии участвовали в создании материала.
Нейросеть изучает оригинальный материал и формирует связный текст
Исправление ошибок, неточностей и спорных формулировок
Генерация текстового промпта для визуальной модели
Генерация изображения по подготовленному промпту
Не пропустите ни одного эксперимента!
Подпишитесь на Telegram-канал –
там мы регулярно публикуем анонсы новых книг, статей и интервью.
