Capital One lance VulnHunter, un agent IA open-source pour la détection de vulnérabilités, simulant les hackers pour réduire les faux positifs
Le géant financier Capital One a dévoilé un outil de cybersécurité open-source basé sur des agents IA avancés, aidant les développeurs à identifier et corriger les failles de code avec une précision accrue.
La société de services financiers Capital One a lancé "VulnHunter", un nouvel outil de sécurité logicielle open-source propulsé par l'IA agentique (capable de prise de décision autonome) pour améliorer la détection des vulnérabilités dans le code.
La particularité de VulnHunter par rapport aux outils SAST (Static Application Security Testing) traditionnels réside dans son approche dite "Attacker-First Forward Analysis". Au lieu de scanner l'ensemble du projet à la recherche de modèles suspects, VulnHunter part des points d'accès réels, comme les API ou les réseaux, pour simuler des chemins d'attaque et vérifier si une faille est réellement exploitable depuis l'extérieur, réduisant ainsi considérablement le bruit des alertes.
De plus, VulnHunter intègre un "Falsification Engine", une fonctionnalité clé qui contre-vérifie les résultats en tentant de prouver qu'une faille détectée est un faux positif avant d'alerter l'utilisateur. Ce processus filtre les alertes non pertinentes, un problème majeur des outils classiques, tout en proposant des pistes de remédiation précises.
Conçu pour fonctionner avec des modèles d'IA de pointe tels que Claude Opus, l'outil est désormais disponible sur GitHub. Capital One mise sur l'open-source pour encourager la collaboration avec la communauté des développeurs et ainsi accroître les capacités de l'outil à grande échelle.
L'arrivée de VulnHunter marque un tournant dans la sécurité logicielle : l'IA ne se contente plus de comparer des modèles, elle simule de véritables attaques. Son format open-source permet aux développeurs et aux entreprises de toutes tailles d'accéder à des outils de niveau professionnel gratuitement.