تحليل ثابت للشيفرة المولَّدة بالذكاء الاصطناعي
ماسح أمني مصمّم خصيصًا لاكتشاف الثغرات التي تُدخلها مساعدات البرمجة بالذكاء الاصطناعي. يضم 59 قاعدة تغطي أنماط الشيفرة التوليدية وأمان الوكلاء ومخاطر تطبيقات النماذج اللغوية الكبيرة — مدعوم بتحليل شجرة البنية المجردة عبر tree-sitter وفرز ذكي اختياري بالذكاء الاصطناعي.
59 قاعدة أمنية
6 لغات برمجة
3 فئات قواعد
مخرجات SARIF
المشكلة
لماذا تُشكّل الشيفرة المولَّدة بالذكاء الاصطناعي خطرًا أمنيًا
تولّد مساعدات الذكاء الاصطناعي الشيفرة أسرع مما يستطيع البشر مراجعته. أصبح قبول اقتراحات الذكاء الاصطناعي بأدنى تدقيق — ما يُعرف بالبرمجة التوليدية — هو الواقع الجديد.
يُحسّن الذكاء الاصطناعي الشيفرة لتعمل، لا لتكون آمنة. نفس المفتاح السري المكتوب مباشرةً، ونفس دمج استعلامات SQL، ونفس إعدادات CORS المتساهلة — تتكرر عبر آلاف المشاريع.
لا تفهم أدوات مثل Semgrep وSnyk وCodeQL قوالب الأوامر النصية أو تعريفات أدوات الوكلاء أو معالجة مخرجات النماذج اللغوية الكبيرة. أسطح الهجوم الجديدة بلا تغطية على الإطلاق.
تتخذ الوكلاء المستقلون قرارات فعلية بصلاحيات الوصول إلى نظام الملفات والكتابة في قواعد البيانات وتنفيذ أوامر الطرفية. لا توجد أداة حالية تُدقّق حدود صلاحياتها.
القواعد
59 قاعدة تستهدف ثلاثة مجالات ثغرات خاصة بالذكاء الاصطناعي
20 قاعدة لأنماط شائعة تولّدها مساعدات البرمجة بالذكاء الاصطناعي: مفاتيح سرية مكتوبة مباشرةً في الأوامر النصية، وحقن SQL عبر دمج النصوص، وتنفيذ شيفرة خطير، وإعدادات افتراضية غير آمنة، ومصادقة مفقودة.
15 قاعدة لشيفرة الوكلاء المستقلين: تعريفات أدوات بصلاحيات مفرطة، ووصول غير مقيّد لنظام الملفات، وتنفيذ أوامر طرفية من مدخلات المستخدم، وغياب سجل التدقيق، وعدم طلب تأكيد قبل الإجراءات المدمّرة.
24 قاعدة لتطبيقات النماذج اللغوية الكبيرة في الإنتاج: مدخلات مستخدم خام في أوامر النظام النصية، وعرض HTML غير معقّم، وتنفيذ استعلامات SQL مولَّدة بالنموذج، ومفاتيح واجهة التضمين المكشوفة، وغياب اكتشاف حقن الأوامر النصية، وتدفقات OAuth غير آمنة، واستخدام SDK مُهمَل، ومخرجات أدوات غير مُتحقَّق منها.
دمج Mistral AI أو نماذج Ollama المحلية لتقليل الإيجابيات الكاذبة وإعادة ترتيب الخطورة بناءً على السياق وتوليد اقتراحات إصلاح سياقية. فعّله بعلامة --ai واحدة — يعمل مع أي نموذج مدعوم.
ملاحظات أمنية فورية في محررك عبر خادم VibeGuard LSP. تشخيصات مضمّنة وإجراءات تصحيحية واقتراحات إصلاح أثناء الكتابة — يعمل مع VS Code وNeovim وأي محرر متوافق مع LSP.
اكتب قواعد مخصصة بصيغة YAML — دون الحاجة لمعرفة Rust. حدّد أنواع عُقد شجرة البنية المجردة وأنماط التعبيرات النمطية وقيود سياق الأسلاف واقتراحات الإصلاح. أنشئ قواعد جديدة بأمر واحد.
مخرجات SARIF v2.1.0 أصلية للتكامل مع تبويب الأمان في GitHub. تظهر النتائج كتعليقات توضيحية مباشرة في طلبات الدمج مع درجة الخطورة واقتراحات الإصلاح والمراجع. يدعم أيضًا مخرجات JSON والنص العادي.
إجراء GitHub جاهز للاستخدام لفحص تلقائي عند كل دفع وطلب دمج. يدعم أيضًا GitLab CI وBitbucket Pipelines وخطافات ما قبل الإيداع. ملف تنفيذي واحد — بدون تبعيات تشغيلية.
القدرات
ما يقدّمه VibeGuard
59
قاعدة أمنية مدمجة
6
لغات برمجة مدعومة
3
فئات خاصة بالذكاء الاصطناعي
1
ملف تنفيذي واحد — بدون تبعيات
5
بناء متعدد المنصات
3
صيغ إخراج
البنية التقنية
مساحة عمل Rust (5 حزم)، tree-sitter، serde، regex، محرك قواعد YAML، إعدادات .vibeguard.yaml
tree-sitter-javascript، tree-sitter-typescript، tree-sitter-python، tree-sitter-go، tree-sitter-java، tree-sitter-rust
Mistral AI SDK، عميل Ollama، اختيار نموذج قابل للتهيئة، تصفية الإيجابيات الكاذبة، إعادة ترتيب الخطورة
clap، colored، serde_json، مخرجات SARIF v2.1.0، Language Server Protocol
GitHub Actions (تكامل مستمر + إصدار متعدد المنصات)، GitLab CI، Bitbucket Pipelines، خطافات ما قبل الإيداع
Linux (amd64/arm64)، macOS (amd64/arm64)، Windows (amd64)، crates.io
هل تحتاج مساعدة في تأمين الكود المولّد بالذكاء الاصطناعي في الإنتاج؟ خدماتنا الاستشارية تكمل VibeGuard.
70% من مشاريع AI التجريبية لا تصل للإنتاج أبداً. احصل على دليل الـ30% الذين ينجحون.
يمكنك إلغاء الاشتراك في أي وقت. لا بريد مزعج، أبداً.