تحليل ثابت للشيفرة المولَّدة بالذكاء الاصطناعي
ماسح أمني مصمّم خصيصًا لاكتشاف الثغرات التي تُدخلها مساعدات البرمجة بالذكاء الاصطناعي. يضم 210 قاعدة موزّعة على خمس فئات -- أنماط الشيفرة التوليدية وأمان الوكلاء ومخاطر تطبيقات LLM وثغرات الأطر البرمجية وأخطاء تهيئة السحابة -- مدعوم بتحليل شجرة البنية المجردة عبر tree-sitter وفرز ذكي اختياري بالذكاء الاصطناعي.
210 قاعدة أمنية
10 لغات برمجة
5 فئات قواعد
مخرجات SARIF
المشكلة
لماذا تُشكّل الشيفرة المولَّدة بالذكاء الاصطناعي خطرًا أمنيًا
تولّد مساعدات الذكاء الاصطناعي الشيفرة أسرع مما يستطيع البشر مراجعته. أصبح قبول اقتراحات الذكاء الاصطناعي بأدنى تدقيق — ما يُعرف بالبرمجة التوليدية — هو الواقع الجديد.
يُحسّن الذكاء الاصطناعي الشيفرة لتعمل، لا لتكون آمنة. نفس المفتاح السري المكتوب مباشرةً، ونفس دمج استعلامات SQL، ونفس إعدادات CORS المتساهلة — تتكرر عبر آلاف المشاريع.
لا تفهم أدوات مثل Semgrep وSnyk وCodeQL قوالب الأوامر النصية أو تعريفات أدوات الوكلاء أو معالجة مخرجات النماذج اللغوية الكبيرة. أسطح الهجوم الجديدة بلا تغطية على الإطلاق.
تتخذ الوكلاء المستقلون قرارات فعلية بصلاحيات الوصول إلى نظام الملفات والكتابة في قواعد البيانات وتنفيذ أوامر الطرفية. لا توجد أداة حالية تُدقّق حدود صلاحياتها.
القواعد
210 قاعدة تستهدف خمسة مجالات ثغرات خاصة بالذكاء الاصطناعي
40 قاعدة لأنماط شائعة تولّدها مساعدات البرمجة بالذكاء الاصطناعي: مفاتيح سرية مكتوبة مباشرةً في الأوامر النصية، وحقن SQL عبر دمج النصوص، وتنفيذ شيفرة خطير، وإعدادات افتراضية غير آمنة، ومصادقة مفقودة، واجتياز المسارات، وإلغاء تسلسل غير آمن، وتشفير ضعيف.
30 قاعدة لشيفرة الوكلاء المستقلين: تعريفات أدوات بصلاحيات مفرطة، ووصول غير مقيّد لنظام الملفات، وتنفيذ أوامر طرفية من مدخلات المستخدم، وغياب سجل التدقيق، وعدم طلب تأكيد قبل الإجراءات المدمّرة، واتصالات غير آمنة بين الوكلاء، ومتجهات تصعيد الصلاحيات.
40 قاعدة لتطبيقات LLM في الإنتاج: مدخلات مستخدم خام في أوامر النظام النصية، وعرض HTML غير معقّم، وتنفيذ استعلامات SQL مولَّدة بالنموذج، ومفاتيح API المكشوفة، وغياب اكتشاف حقن الأوامر النصية، وتدفقات OAuth غير آمنة، واستخدام SDK مُهمَل، ومخرجات أدوات غير مُتحقَّق منها، ومخاطر تسريب بيانات التدريب.
50 قاعدة لأخطاء تهيئة أطر الذكاء الاصطناعي والتعلم الآلي: تعريفات سلاسل LangChain غير آمنة، وثغرات أمنية في FastAPI/Flask، وتجاوز التحقق من Pydantic غير الآمن، ونقاط نهاية debug مكشوفة، وسياسات CORS مفقودة، وحزم middleware غير آمنة، وأنماط تبعيات ضعيفة في أطر الذكاء الاصطناعي الشائعة.
50 قاعدة لمخاطر النشر السحابي: أدوار IAM بصلاحيات مفرطة، وبيانات اعتماد AWS/GCP/Azure مكتوبة مباشرةً، وحاويات تخزين مكشوفة علنًا، وغياب التشفير في وضع الراحة، وتهيئات حاويات غير آمنة، وأسرار Kubernetes غير محمية، ومجموعات أمان VPC مُهيَّأة بشكل خاطئ في عمليات نشر أحمال عمل الذكاء الاصطناعي.
دمج Mistral AI أو نماذج Ollama المحلية لتقليل الإيجابيات الكاذبة وإعادة ترتيب الخطورة بناءً على السياق وتوليد اقتراحات إصلاح سياقية. فعّله بعلامة --ai واحدة — يعمل مع أي نموذج مدعوم.
ملاحظات أمنية فورية في محررك عبر خادم Achilles AI LSP. تشخيصات مضمّنة وإجراءات تصحيحية واقتراحات إصلاح أثناء الكتابة — يعمل مع VS Code وNeovim وأي محرر متوافق مع LSP.
اكتب قواعد مخصصة بصيغة YAML — دون الحاجة لمعرفة Rust. حدّد أنواع عُقد شجرة البنية المجردة وأنماط التعبيرات النمطية وقيود سياق الأسلاف واقتراحات الإصلاح. أنشئ قواعد جديدة بأمر واحد.
مخرجات SARIF v2.1.0 أصلية للتكامل مع تبويب الأمان في GitHub. تظهر النتائج كتعليقات توضيحية مباشرة في طلبات الدمج مع درجة الخطورة واقتراحات الإصلاح والمراجع. يدعم أيضًا مخرجات JSON والنص العادي.
إجراء GitHub جاهز للاستخدام لفحص تلقائي عند كل دفع وطلب دمج. يدعم أيضًا GitLab CI وBitbucket Pipelines وخطافات ما قبل الإيداع. ملف تنفيذي واحد — بدون تبعيات تشغيلية.
القدرات
ما يقدّمه Achilles AI
210
قاعدة أمنية مدمجة
10
لغات برمجة مدعومة
5
فئات خاصة بالذكاء الاصطناعي
1
ملف تنفيذي واحد — بدون تبعيات
5
بناء متعدد المنصات
3
صيغ إخراج
البنية التقنية
مساحة عمل Rust (5 حزم)، tree-sitter، serde، regex، محرك قواعد YAML، إعدادات .achilles-ai.yaml
tree-sitter-javascript، tree-sitter-typescript، tree-sitter-python، tree-sitter-go، tree-sitter-java، tree-sitter-rust، tree-sitter-ruby، tree-sitter-php، tree-sitter-c-sharp، tree-sitter-swift
Mistral AI SDK، عميل Ollama، اختيار نموذج قابل للتهيئة، تصفية الإيجابيات الكاذبة، إعادة ترتيب الخطورة
clap، colored، serde_json، مخرجات SARIF v2.1.0، Language Server Protocol
GitHub Actions (تكامل مستمر + إصدار متعدد المنصات)، GitLab CI، Bitbucket Pipelines، خطافات ما قبل الإيداع
Linux (amd64/arm64)، macOS (amd64/arm64)، Windows (amd64)، crates.io
هل تحتاج مساعدة في تأمين الكود المولّد بالذكاء الاصطناعي في الإنتاج؟ خدماتنا الاستشارية تكمل Achilles AI.
70% من مشاريع AI التجريبية لا تصل للإنتاج أبداً. احصل على دليل الـ30% الذين ينجحون.
يمكنك إلغاء الاشتراك في أي وقت. لا بريد مزعج، أبداً.