Capital One представила VulnHunter: AI-агент с открытым исходным кодом для поиска уязвимостей в стиле хакеров
Крупный финансовый конгломерат Capital One выпустил инструмент кибербезопасности на базе передовых AI-агентов с открытым исходным кодом, помогающий разработчикам точнее находить и устранять уязвимости в коде.
Компания Capital One представила VulnHunter — новый инструмент для обеспечения безопасности программного обеспечения с открытым исходным кодом. Он основан на технологии Agentic AI (агентный ИИ, способный принимать решения и действовать самостоятельно) для более эффективного поиска уязвимостей в коде.
Главное отличие VulnHunter от традиционных инструментов статического тестирования безопасности (SAST) заключается в подходе «Attacker-First Forward Analysis». Вместо простого поиска подозрительных паттернов во всем проекте, VulnHunter начинает анализ с точек, доступных злоумышленникам, например, с API или сетевых интерфейсов. Затем он моделирует путь атаки, чтобы проверить, можно ли реально эксплуатировать найденную уязвимость извне, что значительно снижает количество ложных срабатываний.
Кроме того, VulnHunter оснащен «Falsification Engine» — механизмом верификации, который повторно анализирует найденные уязвимости и пытается опровергнуть их, исключая ложноположительные результаты (False Positives) до того, как они попадут к разработчику. Это избавляет от «шума», характерного для старых инструментов, и предлагает более точные способы устранения проблем.
VulnHunter спроектирован для работы с передовыми LLM, такими как Claude Opus. Решение Capital One открыть исходный код проекта направлено на развитие сообщества разработчиков, чтобы сделать инструмент еще мощнее. Исходный код и документация уже доступны на GitHub.
Появление VulnHunter знаменует переход к использованию ИИ для моделирования реальных атак вместо стандартного поиска по паттернам. Статус Open Source позволяет разработчикам и компаниям любого размера бесплатно использовать инструменты корпоративного уровня.