تحليل ثابت للشيفرة المولَّدة بالذكاء الاصطناعي
ماسح أمني مصمّم خصيصًا لاكتشاف الثغرات التي تُدخلها مساعدات البرمجة بالذكاء الاصطناعي. يضم 210 قاعدة موزّعة على خمس فئات -- أنماط الشيفرة التوليدية وأمان الوكلاء ومخاطر تطبيقات LLM وثغرات الأطر البرمجية وأخطاء تهيئة السحابة -- مدعوم بتحليل شجرة البنية المجردة عبر tree-sitter وتتبع تدفق التلوث متعدد الخطوات وفرز ذكي اختياري بالذكاء الاصطناعي.
210 قاعدة أمنية
10 لغات برمجة
5 فئات قواعد
مخرجات SARIF
المشكلة
لماذا تُشكّل الشيفرة المولَّدة بالذكاء الاصطناعي خطرًا أمنيًا
تولّد مساعدات الذكاء الاصطناعي الشيفرة أسرع مما يستطيع البشر مراجعته. أصبح قبول اقتراحات الذكاء الاصطناعي بأدنى تدقيق — ما يُعرف بالبرمجة التوليدية — هو الواقع الجديد.
يُحسّن الذكاء الاصطناعي الشيفرة لتعمل، لا لتكون آمنة. نفس المفتاح السري المكتوب مباشرةً، ونفس دمج استعلامات SQL، ونفس إعدادات CORS المتساهلة — تتكرر عبر آلاف المشاريع.
لا تفهم أدوات مثل Semgrep وSnyk وCodeQL قوالب الأوامر النصية أو تعريفات أدوات الوكلاء أو معالجة مخرجات النماذج اللغوية الكبيرة. أسطح الهجوم الجديدة بلا تغطية على الإطلاق.
تتخذ الوكلاء المستقلون قرارات فعلية بصلاحيات الوصول إلى نظام الملفات والكتابة في قواعد البيانات وتنفيذ أوامر الطرفية. لا توجد أداة حالية تُدقّق حدود صلاحياتها.
القواعد
210 قاعدة تستهدف خمسة مجالات ثغرات خاصة بالذكاء الاصطناعي
achilles-ai.features.items.scanner.description
achilles-ai.features.items.ai-codeguard.description
achilles-ai.features.items.agents.description
achilles-ai.features.items.llm-app.description
achilles-ai.features.items.framework.description
achilles-ai.features.items.cloud.description
achilles-ai.features.items.ci-cd.description
achilles-ai.features.items.sarif.description
achilles-ai.features.items.ranker.description
achilles-ai.features.items.policies.description
القدرات
ما يقدّمه Achilles AI
210
قاعدة أمنية مدمجة
10
لغات برمجة مدعومة
5
فئات خاصة بالذكاء الاصطناعي
1
ملف تنفيذي واحد — بدون تبعيات
5
بناء متعدد المنصات
3
صيغ إخراج
البنية التقنية
مساحة عمل Rust: achilles-parsers، achilles-core، achilles-ai، achilles-lsp، achilles-cli — tree-sitter، serde، regex، محرك قواعد YAML، تحليل تدفق التلوث
tree-sitter-javascript، tree-sitter-typescript، tree-sitter-python، tree-sitter-go، tree-sitter-java، tree-sitter-rust، tree-sitter-ruby، tree-sitter-php، tree-sitter-c-sharp، tree-sitter-swift
Mistral AI SDK، عميل Ollama، اختيار نموذج قابل للتهيئة، تصفية الإيجابيات الكاذبة، إعادة ترتيب الخطورة
clap، colored، serde_json، مخرجات SARIF v2.1.0، Language Server Protocol
GitHub Actions (تكامل مستمر + إصدار متعدد المنصات)، GitLab CI، Bitbucket Pipelines، خطافات ما قبل الإيداع
Linux (amd64/arm64)، macOS (amd64/arm64)، Windows (amd64)، crates.io
الشيفرة المصدرية
الشيفرة المصدرية لـ Achilles AI متاحة عند الطلب لأغراض التقييم والشراكة.
للوصول إلى الشيفرة المصدرية، يرجى توقيع اتفاقية عدم الإفصاح الخاصة بنا.
هل تحتاج مساعدة في تأمين الكود المولّد بالذكاء الاصطناعي في الإنتاج؟ خدماتنا الاستشارية تكمل Achilles AI.
70% من مشاريع AI التجريبية لا تصل للإنتاج أبداً. احصل على دليل الـ30% الذين ينجحون.
يمكنك إلغاء الاشتراك في أي وقت. لا بريد مزعج، أبداً.
العمارة
ثلاث طبقات: تكامل CLI/CI جاهز للاستخدام، ماسح AST مكون من 210 قاعدة مضبوط لأنماط الذكاء الاصطناعي المولدة، ورتب مصنف بواسطة الذكاء الاصطناعي يحدد خطورة النتائج يضع المخاطر الحقيقية في المقدمة.
ملف Go ثنائي واحد، بدون وقت تشغيل. واجهة سطر الأوامر للمسح المحلي، تكامل GitHub/GitLab CI، إخراج SARIF لواجهات مسح الأكواد. يعمل في ثوانٍ على التزام Cursor؛ يعمل في دقائق على قاعدة أكواد Auralink بحجم مليون سطر.
ماسحات AST للغات Python، TypeScript، JavaScript، Go. خمس فئات للقواعد: أنماط الكود الارتجالية، أمان الوكلاء (تعريفات الأدوات، توسع القدرات)، مخاطر تطبيقات الذكاء الاصطناعي (حقن الأوامر، المخرجات غير المعقمة)، ثغرات الإطارات، سوء تهيئة السحابة. الأنماط التي لا تمتلكها أدوات SAST.
التقييم بواسطة الذكاء الاصطناعي (Mistral محلي أو مستضاف) يعيد ترتيب النتائج حسب إمكانية الاستغلال مقابل بنيتك. لا مزيد من التقارير المكونة من 500 نتيجة لا يقرأها أحد — العشر الأوائل هم بالفعل العشر الأوائل، مع شرح قصير يمكن للمطور التصرف بناءً عليه.
210 قاعدة عبر 5 فئات
مساعدو الذكاء الاصطناعي يُحسنون من أجل 'العمل'، وليس 'الأمان'. يُسمي أخيلس كل نمط سلبي مُولد بالذكاء الاصطناعي رأيناه على نطاق واسع عبر أكثر من مليون سطر من الأكواد المعززة بالذكاء الاصطناعي، ثم يُشحن مُصنفًا للـLLM يضع المخاطر الحقيقية في أعلى التقرير.
47 RULESمفاتيح واجهة برمجة التطبيقات المُشفرة في قوالب المطالبات، SQL عبر تسلسل السلاسل في مسارات الأكواد 'للعرض فقط'، إلغاء التسلسل غير الآمن، تنفيذ مخرجات LLM، الأسرار المسجلة في مستوى INFO. مجموعة الأنماط التي تُشحن عندما يتغلب 'العمل مرة واحدة' على 'العمل بأمان'.
38 RULESتعريفات الأدوات بدون التحقق من صحة المعلمات، قدرات الوكلاء التي تتداخل مع امتيازات المسؤول، حدود معدل مفقودة على الأدوات القابلة للاستدعاء بواسطة LLM، بادئات المطالبات التي تسرب هوية النظام. المجموعة التي تسمح بتحويل كسر الحماية إلى حادثة.
52 RULESمخرجات LLM غير المعقمة المعروضة كـHTML، نواقل حقن المطالبة في السياق الذي يتحكم فيه المستخدم، الحقن غير المباشر عبر المستندات المسترجعة، إخراج النموذج الذي يتم توجيهه إلى shell أو eval، التحقق من صحة مخطط الإخراج مفقود. قائمة OWASP-LLM-Top-10 بشكل ملموس.
43 RULESكشف إجراءات Next.js Server بدون مصادقة، تجاوز حقن التبعية في FastAPI، تسرب سلسلة الأفكار في LangChain، حقن SQL عبر raw() في Django ORM، عرض القوالب غير الآمن. قواعد خاصة بالإطار، وليس تتبع التلوث العام.
30 RULESS3 العامة مع بادئات حساسة، أدوار IAM مع إجراءات `*`، أذونات AWS Bedrock عبر الحسابات، GCP Vertex AI مكشوفة في سياق بدون حساب خدمة. المجموعة التي تسمح بتحويل عنوان URL المسرب إلى استخراج كامل للبيانات.