المشاريع

Achilles AI

تحليل ثابت للشيفرة المولَّدة بالذكاء الاصطناعي

ماسح أمني مصمّم خصيصًا لاكتشاف الثغرات التي تُدخلها مساعدات البرمجة بالذكاء الاصطناعي. يضم 210 قاعدة موزّعة على خمس فئات -- أنماط الشيفرة التوليدية وأمان الوكلاء ومخاطر تطبيقات LLM وثغرات الأطر البرمجية وأخطاء تهيئة السحابة -- مدعوم بتحليل شجرة البنية المجردة عبر tree-sitter وتتبع تدفق التلوث متعدد الخطوات وفرز ذكي اختياري بالذكاء الاصطناعي.

210 قاعدة أمنية

10 لغات برمجة

5 فئات قواعد

مخرجات SARIF

المشكلة

لماذا تُشكّل الشيفرة المولَّدة بالذكاء الاصطناعي خطرًا أمنيًا

الشيفرة تُنشَر أسرع من المراجعة

تولّد مساعدات الذكاء الاصطناعي الشيفرة أسرع مما يستطيع البشر مراجعته. أصبح قبول اقتراحات الذكاء الاصطناعي بأدنى تدقيق — ما يُعرف بالبرمجة التوليدية — هو الواقع الجديد.

أنماط غير آمنة على نطاق واسع

يُحسّن الذكاء الاصطناعي الشيفرة لتعمل، لا لتكون آمنة. نفس المفتاح السري المكتوب مباشرةً، ونفس دمج استعلامات SQL، ونفس إعدادات CORS المتساهلة — تتكرر عبر آلاف المشاريع.

الماسحات التقليدية عاجزة

لا تفهم أدوات مثل Semgrep وSnyk وCodeQL قوالب الأوامر النصية أو تعريفات أدوات الوكلاء أو معالجة مخرجات النماذج اللغوية الكبيرة. أسطح الهجوم الجديدة بلا تغطية على الإطلاق.

أمان الوكلاء مجهول المعالم

تتخذ الوكلاء المستقلون قرارات فعلية بصلاحيات الوصول إلى نظام الملفات والكتابة في قواعد البيانات وتنفيذ أوامر الطرفية. لا توجد أداة حالية تُدقّق حدود صلاحياتها.

القواعد

فئات القواعد

210 قاعدة تستهدف خمسة مجالات ثغرات خاصة بالذكاء الاصطناعي

الشيفرة التوليدية (VC001-VC040)

40 قاعدة لأنماط شائعة تولّدها مساعدات البرمجة بالذكاء الاصطناعي: مفاتيح سرية مكتوبة مباشرةً في الأوامر النصية، وحقن SQL عبر دمج النصوص، وتنفيذ شيفرة خطير، وإعدادات افتراضية غير آمنة، ومصادقة مفقودة، واجتياز المسارات، وإلغاء تسلسل غير آمن، وتشفير ضعيف.

أمان الوكلاء (AS001-AS030)

30 قاعدة لشيفرة الوكلاء المستقلين: تعريفات أدوات بصلاحيات مفرطة، ووصول غير مقيّد لنظام الملفات، وتنفيذ أوامر طرفية من مدخلات المستخدم، وغياب سجل التدقيق، وعدم طلب تأكيد قبل الإجراءات المدمّرة، واتصالات غير آمنة بين الوكلاء، ومتجهات تصعيد الصلاحيات.

تطبيقات LLM (LA001-LA040)

40 قاعدة لتطبيقات LLM في الإنتاج: مدخلات مستخدم خام في أوامر النظام النصية، وعرض HTML غير معقّم، وتنفيذ استعلامات SQL مولَّدة بالنموذج، ومفاتيح API المكشوفة، وغياب اكتشاف حقن الأوامر النصية، وتدفقات OAuth غير آمنة، واستخدام SDK مُهمَل، ومخرجات أدوات غير مُتحقَّق منها، ومخاطر تسريب بيانات التدريب.

أمان الأطر البرمجية (FS001-FS050)

50 قاعدة تشمل 10 أطر برمجية: Express.js وDjango وFlask وFastAPI وSpring Boot وLaravel وRails وNext.js وNestJS وGin — تغطي كشف وضع التصحيح وغياب حراسات المصادقة وأحرف البدل في CORS والتعيين الجماعي والـDTOs غير المتحقق منها وتسريبات نقاط نهاية actuator.

أمان السحابة (CS001-CS050)

50 قاعدة تشمل 7 منصات: AWS (15) وTerraform (10) وKubernetes (6) وGitHub Actions (5) وGCP (5) وAzure (5) وDocker (4) — تغطي الإفراط في منح صلاحيات IAM والحاويات العامة وتعطيل التشفير والحاويات ذات الامتيازات والإجراءات غير المثبتة ومجموعات الأمان المُهيَّأة بشكل خاطئ.

تحليل مدعوم بالذكاء الاصطناعي

دمج Mistral AI أو نماذج Ollama المحلية لتقليل الإيجابيات الكاذبة وإعادة ترتيب الخطورة بناءً على السياق وتوليد اقتراحات إصلاح سياقية. فعّله بعلامة --ai واحدة — يعمل مع أي نموذج مدعوم.

بروتوكول خادم اللغة

ملاحظات أمنية فورية في محررك عبر خادم Achilles AI LSP. تشخيصات مضمّنة وإجراءات تصحيحية واقتراحات إصلاح أثناء الكتابة — يعمل مع VS Code وNeovim وأي محرر متوافق مع LSP.

قواعد YAML مخصصة

اكتب قواعد مخصصة بصيغة YAML — دون الحاجة لمعرفة Rust. حدّد أنواع عُقد شجرة البنية المجردة وأنماط التعبيرات النمطية وقيود سياق الأسلاف واقتراحات الإصلاح. أنشئ قواعد جديدة بأمر واحد.

تكامل SARIF وGitHub

مخرجات SARIF v2.1.0 أصلية للتكامل مع تبويب الأمان في GitHub. تظهر النتائج كتعليقات توضيحية مباشرة في طلبات الدمج مع درجة الخطورة واقتراحات الإصلاح والمراجع. يدعم أيضًا مخرجات JSON والنص العادي.

إجراء GitHub والتكامل المستمر

إجراء GitHub جاهز للاستخدام لفحص تلقائي عند كل دفع وطلب دمج. يدعم أيضًا GitLab CI وBitbucket Pipelines وخطافات ما قبل الإيداع. ملف تنفيذي واحد — بدون تبعيات تشغيلية.

القدرات

ما يقدّمه Achilles AI

210

قاعدة أمنية مدمجة

لغات برمجة مدعومة

فئات خاصة بالذكاء الاصطناعي

ملف تنفيذي واحد — بدون تبعيات

بناء متعدد المنصات

صيغ إخراج

البنية التقنية

مبني باستخدام

المحرك الأساسي

مساحة عمل Rust: achilles-parsers، achilles-core، achilles-ai، achilles-lsp، achilles-cli — tree-sitter، serde، regex، محرك قواعد YAML، تحليل تدفق التلوث

محللات اللغات

tree-sitter-javascript، tree-sitter-typescript، tree-sitter-python، tree-sitter-go، tree-sitter-java، tree-sitter-rust، tree-sitter-ruby، tree-sitter-php، tree-sitter-c-sharp، tree-sitter-swift

تكامل الذكاء الاصطناعي

Mistral AI SDK، عميل Ollama، اختيار نموذج قابل للتهيئة، تصفية الإيجابيات الكاذبة، إعادة ترتيب الخطورة

سطر الأوامر وLSP والمخرجات

clap، colored، serde_json، مخرجات SARIF v2.1.0، Language Server Protocol

التكامل والنشر المستمر

GitHub Actions (تكامل مستمر + إصدار متعدد المنصات)، GitLab CI، Bitbucket Pipelines، خطافات ما قبل الإيداع

المنصات

Linux (amd64/arm64)، macOS (amd64/arm64)، Windows (amd64)، crates.io

التسعير

ابدأ مع Achilles AI

تواصل مع فريقنا لمعرفة كيف يمكن لـ Achilles AI تأمين شيفرتك المولَّدة بالذكاء الاصطناعي على نطاق واسع.

اطلب الوصول المبكر

Achilles AI في مرحلة البيتا الخاصة. احصل على وصول مبكر للماسح الأمني، وساهم بقواعد من مشاريعك الخاصة، وشارك في تشكيل خارطة الطريق.

خدمات استشارية ذات صلة

هل تحتاج مساعدة في تأمين الكود المولّد بالذكاء الاصطناعي في الإنتاج؟ خدماتنا الاستشارية تكمل Achilles AI.

أنظمة AI لدينا معرّضة للخطر

أنظمة AI الخاصة بك تواجه تهديدات فريدة — حقن الأوامر، تسميم البيانات، سرقة النماذج. الأمن التقليدي لا يغطي هذه النواقل الهجومية. أساعدك في تأمين AI قبل أن يستغله المهاجمون.

اعرف المزيد

نريد وكلاء AI لكن لا نعرف كيف

الجميع يتحدث عن الوكلاء. مجلس إدارتك يريد 'استراتيجية AI وكيلية'. أساعدك في تجاوز الضجيج، وتحديد حالات الاستخدام الحقيقية، وبناء وكلاء إنتاجيين بأمان.

اعرف المزيد

رؤى أسبوعية في الذكاء الاصطناعي

The 30% Report

70% من مشاريع AI التجريبية لا تصل للإنتاج أبداً. احصل على دليل الـ30% الذين ينجحون.

يمكنك إلغاء الاشتراك في أي وقت. لا بريد مزعج، أبداً.