Statische Analyse fuer KI-generierten Code
Ein speziell entwickelter Sicherheitsscanner, der Schwachstellen erkennt, die von KI-Codierassistenten eingefuehrt werden. 210 Regeln in fuenf Kategorien -- Vibe-Code-Muster, Agentensicherheit, LLM-Anwendungsrisiken, Framework-Schwachstellen und Cloud-Fehlkonfigurationen -- basierend auf tree-sitter AST-Analyse, Multi-Hop-Taint-Flow-Verfolgung und optionaler KI-gestuetzter Triage.
210 Sicherheitsregeln
10 Sprachen
5 Regelkategorien
SARIF-Ausgabe
Das Problem
Warum KI-generierter Code ein Sicherheitsrisiko darstellt
KI-Assistenten generieren Code schneller, als Menschen ihn ueberpruefen koennen. Vibe Coding -- KI-Vorschlaege mit minimaler Pruefung akzeptieren -- ist der neue Standard.
KI optimiert fuer funktionierenden Code, nicht fuer sicheren Code. Dasselbe hartcodierte Geheimnis, dieselbe SQL-Verkettung, dasselbe permissive CORS -- wiederholt ueber Tausende von Projekten.
Semgrep, Snyk und CodeQL verstehen keine Prompt-Vorlagen, Agenten-Tool-Definitionen oder LLM-Ausgabeverarbeitung. Neue Angriffsflaechen haben keinerlei Abdeckung.
Autonome Agenten treffen reale Entscheidungen mit Dateisystemzugriff, Datenbankschreibvorgaengen und Shell-Befehlen. Kein bestehendes Tool prueft ihre Berechtigungsgrenzen.
Regeln
210 Regeln fuer fuenf KI-spezifische Schwachstellenbereiche
40 Regeln fuer Muster, die haeufig von KI-Codierassistenten generiert werden: hartcodierte Geheimnisse in Prompts, SQL-Injection durch Verkettung, gefaehrliche Code-Ausfuehrung, unsichere Standardeinstellungen, fehlende Authentifizierung, Path-Traversal, unsichere Deserialisierung und schwache Kryptographie.
30 Regeln fuer autonomen Agentencode: zu permissive Tool-Definitionen, uneingeschraenkter Dateisystemzugriff, Shell-Befehlsausfuehrung aus Benutzereingaben, fehlende Audit-Protokollierung, keine Bestaetigung vor destruktiven Aktionen, unsichere Inter-Agenten-Kommunikation und Privilege-Escalation-Vektoren.
40 Regeln fuer produktive LLM-Anwendungen: rohe Benutzereingaben in System-Prompts, unbereinigtes HTML-Rendering, Ausfuehrung von LLM-generiertem SQL, exponierte API-Schluessel, fehlende Prompt-Injection-Erkennung, unsichere OAuth-Flows, veraltete SDK-Nutzung, nicht validierte Tool-Ausgaben und Risiken der Trainingsdaten-Exfiltration.
50 Regeln fuer 10 Frameworks: Express.js, Django, Flask, FastAPI, Spring Boot, Laravel, Rails, Next.js, NestJS und Gin -- abdeckend Debug-Modus-Exposition, fehlende Auth-Guards, CORS-Wildcards, Mass-Assignment, nicht validierte DTOs und Actuator-Endpoint-Lecks.
50 Regeln fuer 7 Plattformen: AWS (15), Terraform (10), Kubernetes (6), GitHub Actions (5), GCP (5), Azure (5), Docker (4) -- abdeckend IAM-Ueberprivilegierung, oeffentliche Buckets, deaktivierte Verschluesselung, privilegierte Container, nicht fixierte Actions und falsch konfigurierte Sicherheitsgruppen.
Integrieren Sie Mistral AI oder lokale Ollama-Modelle, um Fehlalarme zu reduzieren, den Schweregrad kontextbasiert neu zu bewerten und kontextbezogene Korrekturvorschlaege zu generieren. Aktivieren Sie es mit einem einzigen --ai Flag -- funktioniert mit jedem unterstuetzten Modell.
Echtzeit-Sicherheitsfeedback in Ihrem Editor ueber den Achilles AI LSP-Server. Inline-Diagnosen, Code-Aktionen und Korrekturvorschlaege waehrend Sie tippen -- kompatibel mit VS Code, Neovim und jedem LSP-kompatiblen Editor.
Schreiben Sie benutzerdefinierte Regeln in YAML -- keine Rust-Kenntnisse erforderlich. Definieren Sie AST-Knotentypen, Regex-Muster, Vorfahren-Kontexteinschraenkungen und Korrekturvorschlaege. Erstellen Sie neue Regeln mit einem einzigen Befehl.
Native SARIF v2.1.0-Ausgabe fuer die Integration mit dem GitHub-Sicherheits-Tab. Ergebnisse erscheinen als Inline-PR-Annotationen mit Schweregrad, Korrekturvorschlaegen und Referenzen. Unterstuetzt auch JSON- und Textausgabe.
Sofort einsetzbare GitHub Action fuer automatisierte Analyse bei jedem Push und Pull Request. Unterstuetzt auch GitLab CI, Bitbucket Pipelines und Pre-Commit-Hooks. Einzelne Binaerdatei -- keine Laufzeitabhaengigkeiten.
Leistungsmerkmale
Was Achilles AI bietet
210
Integrierte Sicherheitsregeln
10
Unterstuetzte Sprachen
5
KI-spezifische Kategorien
1
Einzelne Binaerdatei -- ohne Abhaengigkeiten
5
Plattformuebergreifende Builds
3
Ausgabeformate
Technologien
Rust Workspace: achilles-parsers, achilles-core, achilles-ai, achilles-lsp, achilles-cli — tree-sitter, serde, regex, YAML-Regel-Engine, Taint-Flow-Analyse
tree-sitter-javascript, tree-sitter-typescript, tree-sitter-python, tree-sitter-go, tree-sitter-java, tree-sitter-rust, tree-sitter-ruby, tree-sitter-php, tree-sitter-c-sharp, tree-sitter-swift
Mistral AI SDK, Ollama-Client, konfigurierbare Modellauswahl, Fehlalarm-Filterung, Schweregrad-Neubewertung
clap, colored, serde_json, SARIF v2.1.0-Ausgabe, Language Server Protocol
GitHub Actions (CI + Cross-Compile-Release), GitLab CI, Bitbucket Pipelines, Pre-Commit-Hooks
Linux (amd64/arm64), macOS (amd64/arm64), Windows (amd64), crates.io
Preise
Kontaktieren Sie unser Team, um zu erfahren, wie Achilles AI Ihren KI-generierten Code im grossen Massstab absichern kann.
Benötigen Sie Hilfe bei der Absicherung von KI-generiertem Code in der Produktion? Unsere Beratung ergänzt Achilles AI.
70% der KI-Piloten erreichen nie die Produktion. Holen Sie sich das Playbook für die 30%, die es schaffen.
Jederzeit abbestellbar. Kein Spam, niemals.