Ventures

Achilles AI

Στατική Ανάλυση για Κώδικα που Δημιουργείται από AI

Ένας εξειδικευμένος σαρωτής ασφαλείας που εντοπίζει τις ευπάθειες που εισάγουν οι βοηθοί κωδικοποίησης AI. 210 κανόνες σε πέντε κατηγορίες — μοτίβα vibe code, ασφάλεια agents, κινδύνους εφαρμογών LLM, ευπάθειες frameworks και λανθασμένες ρυθμίσεις cloud — τροφοδοτούμενος από ανάλυση AST μέσω tree-sitter, παρακολούθηση ροής μόλυνσης πολλαπλών βημάτων και προαιρετική AI-υποβοηθούμενη διαλογή.

210 Κανόνες Ασφαλείας

10 Γλώσσες

5 Κατηγορίες Κανόνων

SARIF Output

Το Πρόβλημα

Γιατί ο κώδικας που παράγεται από AI αποτελεί κίνδυνο ασφαλείας

Ο Κώδικας Παραδίδεται Ταχύτερα από τις Αξιολογήσεις

Οι βοηθοί AI παράγουν κώδικα ταχύτερα από ό,τι μπορούν να τον αξιολογήσουν οι άνθρωποι. Το vibe coding — η αποδοχή προτάσεων AI με ελάχιστο έλεγχο — είναι ο νέος κανόνας.

Ανασφαλή Μοτίβα σε Κλίμακα

Η AI βελτιστοποιεί για λειτουργικό κώδικα, όχι για ασφαλή κώδικα. Το ίδιο hardcoded μυστικό, η ίδια συνένωση SQL, η ίδια επιτρεπτική CORS — επαναλαμβάνονται σε χιλιάδες έργα.

Οι Παραδοσιακοί Σαρωτές Είναι Τυφλοί

Τα Semgrep, Snyk και CodeQL δεν κατανοούν πρότυπα prompts, ορισμούς εργαλείων agents ή χειρισμό εξόδου LLM. Οι νέες επιφάνειες επίθεσης έχουν μηδενική κάλυψη.

Η Ασφάλεια Agents Είναι Αχαρτογράφητη

Οι αυτόνομοι agents λαμβάνουν αποφάσεις πραγματικού κόσμου με πρόσβαση στο σύστημα αρχείων, εγγραφές σε βάσεις δεδομένων και εντολές shell. Κανένα υπάρχον εργαλείο δεν ελέγχει τα όρια δικαιωμάτων τους.

Κανόνες

Κατηγορίες Κανόνων

210 κανόνες που στοχεύουν πέντε τομείς ευπαθειών ειδικούς για AI

achilles-ai.features.items.scanner.title

achilles-ai.features.items.scanner.description

achilles-ai.features.items.ai-codeguard.title

achilles-ai.features.items.ai-codeguard.description

achilles-ai.features.items.agents.title

achilles-ai.features.items.agents.description

achilles-ai.features.items.llm-app.title

achilles-ai.features.items.llm-app.description

achilles-ai.features.items.framework.title

achilles-ai.features.items.framework.description

achilles-ai.features.items.cloud.title

achilles-ai.features.items.cloud.description

achilles-ai.features.items.ci-cd.title

achilles-ai.features.items.ci-cd.description

achilles-ai.features.items.sarif.title

achilles-ai.features.items.sarif.description

achilles-ai.features.items.ranker.title

achilles-ai.features.items.ranker.description

achilles-ai.features.items.policies.title

achilles-ai.features.items.policies.description

Δυνατότητες

Τι προσφέρει το Achilles AI

210

Ενσωματωμένοι κανόνες ασφαλείας

Υποστηριζόμενες γλώσσες

Κατηγορίες ειδικές για AI

Ενιαίο binary — χωρίς εξαρτήσεις

Cross-platform builds

Μορφές εξόδου

Τεχνολογικό Stack

Κατασκευασμένο Με

Βασική Μηχανή

Rust workspace: achilles-parsers, achilles-core, achilles-ai, achilles-lsp, achilles-cli — tree-sitter, serde, regex, μηχανή κανόνων YAML, ανάλυση ροής μόλυνσης

Αναλυτές Γλωσσών

tree-sitter-javascript, tree-sitter-typescript, tree-sitter-python, tree-sitter-go, tree-sitter-java, tree-sitter-rust, tree-sitter-ruby, tree-sitter-php, tree-sitter-c-sharp, tree-sitter-swift

Ενσωμάτωση AI

Mistral AI SDK, Ollama client, παραμετροποιήσιμη επιλογή μοντέλου, φιλτράρισμα ψευδών θετικών, αναταξινόμηση σοβαρότητας

CLI, LSP & Έξοδος

clap, colored, serde_json, SARIF v2.1.0 output, Language Server Protocol

CI/CD

GitHub Actions (CI + cross-compile release), GitLab CI, Bitbucket Pipelines, pre-commit hooks

Πλατφόρμες

Linux (amd64/arm64), macOS (amd64/arm64), Windows (amd64), crates.io

Πηγαίος Κώδικας

Εξερευνήστε τον Κώδικα

Ο πηγαίος κώδικας του Achilles AI είναι διαθέσιμος κατόπιν αιτήματος για σκοπούς αξιολόγησης και συνεργασίας.

Απαιτείται NDA

Για πρόσβαση στον πηγαίο κώδικα, παρακαλούμε υπογράψτε τη Συμφωνία Εμπιστευτικότητας.

Σχετικές Συμβουλευτικές Υπηρεσίες

Χρειάζεστε βοήθεια για την ασφάλεια κώδικα που παράγεται από AI στην παραγωγή; Οι συμβουλευτικές μας υπηρεσίες συμπληρώνουν το Achilles AI.

Πρόγραμμα Συμμόρφωσης EU AI Act

Δώδεκα έως είκοσι τέσσερις εβδομάδες για να ταξινομηθούν ως προς τον κίνδυνο τα AI συστήματά σας, να ολοκληρωθεί το conformity assessment, να παραχθεί η τεχνική τεκμηρίωση Annex IV και να στηθεί το post-market monitoring — πριν ένα αίτημα επιβολής φτάσει στο γραφείο σας

Learn more

Συνεργασία

Ενδιαφέρεστε για το Achilles AI;

Είτε χρειάζεστε έλεγχο ασφαλείας κώδικα AI για την ομάδα σας, είτε θέλετε να εξερευνήσετε μια συνεργασία στον χώρο του AppSec.

Εβδομαδιαίες Ειδήσεις AI

The 30% Report

Το 70% των AI pilots δεν φτάνει ποτέ στην παραγωγή. Αποκτήστε τον οδηγό του 30% που τα καταφέρνει.

Διαγραφή ανά πάσα στιγμή. Χωρίς spam, ποτέ.

Αρχιτεκτονική

Από το CI hook σε ταξινομημένα ευρήματα ασφαλείας

Τρία επίπεδα: ενσωμάτωση CLI/CI με απλή προσθήκη, ένας σαρωτής AST με 210 κανόνες βελτιστοποιημένος για πρότυπα που δημιουργούνται από AI, και ένας ταξινομητής σοβαρότητας με κρίση LLM που τοποθετεί τους πραγματικούς κινδύνους στην κορυφή.

Επίπεδο 1 — Επιφάνεια Προγραμματιστή

Ενιαίο δυαδικό αρχείο Go, χωρίς runtime. CLI για τοπικές σαρώσεις, ενσωμάτωση GitHub/GitLab CI, έξοδος SARIF για διεπαφές σάρωσης κώδικα. Εκτελείται σε δευτερόλεπτα σε ένα commit του Cursor· εκτελείται σε λεπτά σε μια codebase κλίμακας 1M γραμμών του Auralink.

Επίπεδο 2 — Κινητήρας 210 Κανόνων

Σαρωτές AST για Python, TypeScript, JavaScript, Go. Πέντε κατηγορίες κανόνων: πρότυπα vibe-code, ασφάλεια agent (ορισμοί εργαλείων, ανεξέλεγκτη επέκταση δυνατοτήτων), κίνδυνοι εφαρμογών LLM (ένεση προτροπών, μη απολυμασμένη έξοδος), ευπάθειες frameworks, λανθασμένες ρυθμίσεις cloud. Τα πρότυπα που δεν διαθέτουν τα εργαλεία SAST.

Επίπεδο 3 — AI Ταξινομητής Σοβαρότητας

Ταξινόμηση με κρίση LLM (Mistral τοπικά ή hosted) επαναταξινομεί τα ευρήματα με βάση την εκμεταλλευσιμότητα στο stack σας. Όχι πλέον αναφορές με 500 ευρήματα που κανείς δεν διαβάζει — οι κορυφαίες 10 είναι πραγματικά οι κορυφαίες 10, με μια σύντομη εξήγηση που ένας προγραμματιστής μπορεί να δράσει.

210 κανόνες σε 5 κατηγορίες

Τα μοτίβα που τα εργαλεία SAST δεν διαθέτουν — αλλά εμφανίζονται συνεχώς στον κώδικα AI

Οι βοηθοί AI βελτιστοποιούν για το 'λειτουργεί,' όχι για το 'ασφαλές.' Το Achilles κατονομάζει κάθε αντι-μοτίβο που δημιουργείται από AI και έχουμε δει σε κλίμακα σε πάνω από 1M+ γραμμές κώδικα με ενίσχυση AI, και στη συνέχεια παρέχει έναν ταξινομητή LLM που τοποθετεί τους πραγματικούς κινδύνους στην κορυφή της αναφοράς.

47 RULES

Μοτίβα Vibe-Code

Σκληρά κωδικοποιημένα κλειδιά API σε πρότυπα προτροπών, SQL μέσω συνένωσης συμβολοσειρών σε 'απλώς demo' μονοπάτια κώδικα, μη ασφαλής αποσειριοποίηση, eval της εξόδου LLM, μυστικά καταγεγραμμένα στο επίπεδο INFO. Το σύνολο των μοτίβων που εμφανίζονται όταν το 'λειτουργεί μια φορά' υπερισχύει του 'λειτουργεί με ασφάλεια.'

38 RULES

Ασφάλεια Πρακτόρων

Ορισμοί εργαλείων χωρίς επικύρωση παραμέτρων, δυνατότητες πρακτόρων που επικαλύπτονται με προνόμια διαχειριστή, έλλειψη ορίων ρυθμού σε εργαλεία που μπορούν να κληθούν από LLM, πρόθεμα προτροπής που διαρρέει την ταυτότητα του συστήματος. Το σύνολο που επιτρέπει σε ένα jailbreak να εξελιχθεί σε περιστατικό.

52 RULES

Κίνδυνοι Εφαρμογών LLM

Μη απολυμασμένη έξοδος LLM που αποδίδεται ως HTML, διανύσματα έγχυσης προτροπής σε πλαίσιο ελεγχόμενο από τον χρήστη, έμμεση έγχυση μέσω ανακτημένων εγγράφων, έξοδος μοντέλου διοχετευμένη σε κέλυφος ή eval, έλλειψη επικύρωσης σχήματος εξόδου. Το OWASP-LLM-Top-10 υλοποιημένο στην πράξη.

43 RULES

Τρωτότητες Πλαισίων

Έκθεση Next.js Server Action χωρίς έλεγχο ταυτότητας, παράκαμψη έγχυσης εξαρτήσεων FastAPI, διαρροή αλυσίδας σκέψης LangChain, SQL injection μέσω raw() στο Django ORM, μη ασφαλής απόδοση προτύπου. Κανόνες ανά πλαίσιο, όχι γενική παρακολούθηση ροής δεδομένων.

30 RULES

Ασφάλεια Cloud

Δημόσιο S3 με ευαίσθητα προθέματα, ρόλοι IAM με ενέργειες `*`, δικαιώματα cross-account στο AWS Bedrock, έκθεση GCP Vertex AI σε πλαίσιο χωρίς λογαριασμό υπηρεσίας. Το σύνολο που επιτρέπει σε ένα διαρρεύσαν URL τελικού σημείου να εξελιχθεί σε πλήρη εξαγωγή δεδομένων.