Statische Analyse voor AI-Gegenereerde Code
Een doelgebouwde beveiligingsscanner die de kwetsbaarheden detecteert die AI-codeerassistenten introduceren. 210 regels verdeeld over vijf categorieen -- vibe code-patronen, agentbeveiliging, LLM-applicatierisico's, framework-kwetsbaarheden en cloud-misconfiguraties -- aangedreven door tree-sitter AST-analyse, multi-hop taint flow tracking en optionele AI-gestuurde triage.
210 Beveiligingsregels
10 Talen
5 Regelcategorieen
SARIF Output
Het Probleem
Waarom AI-gegenereerde code een beveiligingsrisico vormt
AI-assistenten genereren code sneller dan mensen deze kunnen beoordelen. Vibe coding -- het accepteren van AI-suggesties met minimale controle -- is de nieuwe standaard.
AI optimaliseert voor werkende code, niet voor veilige code. Hetzelfde hardcoded geheim, dezelfde SQL-concatenatie, dezelfde permissieve CORS -- herhaald in duizenden projecten.
Semgrep, Snyk en CodeQL begrijpen geen prompt-templates, agent-tooldefinities of LLM-outputverwerking. Nieuwe aanvalsoppervlakken hebben nul dekking.
Autonome agents nemen real-world beslissingen met bestandssysteemtoegang, databaseschrijfacties en shellcommando's. Geen enkel bestaand hulpmiddel controleert hun toestemmingsgrenzen.
Regels
210 regels gericht op vijf AI-specifieke kwetsbaarheidsdomeinen
achilles-ai.features.items.scanner.description
achilles-ai.features.items.ai-codeguard.description
achilles-ai.features.items.agents.description
achilles-ai.features.items.llm-app.description
achilles-ai.features.items.framework.description
achilles-ai.features.items.cloud.description
achilles-ai.features.items.ci-cd.description
achilles-ai.features.items.sarif.description
achilles-ai.features.items.ranker.description
achilles-ai.features.items.policies.description
Mogelijkheden
Wat Achilles AI levert
210
Ingebouwde beveiligingsregels
10
Ondersteunde talen
5
AI-specifieke categorieen
1
Enkele binary -- geen afhankelijkheden
5
Cross-platform builds
3
Uitvoerformaten
Technologiestack
Rust workspace: achilles-parsers, achilles-core, achilles-ai, achilles-lsp, achilles-cli — tree-sitter, serde, regex, YAML-regelengine, taint flow-analyse
tree-sitter-javascript, tree-sitter-typescript, tree-sitter-python, tree-sitter-go, tree-sitter-java, tree-sitter-rust, tree-sitter-ruby, tree-sitter-php, tree-sitter-c-sharp, tree-sitter-swift
Mistral AI SDK, Ollama-client, configureerbare modelselectie, foutpositievenfiltering, herordening van ernst
clap, colored, serde_json, SARIF v2.1.0-uitvoer, Language Server Protocol
GitHub Actions (CI + cross-compile release), GitLab CI, Bitbucket Pipelines, pre-commit hooks
Linux (amd64/arm64), macOS (amd64/arm64), Windows (amd64), crates.io
Broncode
De Achilles AI-broncode is op aanvraag beschikbaar voor evaluatie- en samenwerkingsdoeleinden.
Om toegang te krijgen tot de broncode, dient u onze Geheimhoudingsovereenkomst te ondertekenen.
Hulp nodig bij het beveiligen van AI-gegenereerde code in productie? Onze adviesdiensten vullen Achilles AI aan.
70% van AI-pilots bereikt nooit productie. Ontvang het draaiboek van de 30% die wel levert.
Op elk moment uitschrijven. Nooit spam.
Architectuur
Drie lagen: plug-and-play CLI/CI-integratie, een AST-scanner met 210 regels afgestemd op AI-gegenereerde patronen, en een LLM-beoordeelde ernst-rangschikker die de echte risico's bovenaan zet.
Enkele Go-binary, geen runtime. CLI voor lokale scans, GitHub/GitLab CI-integratie, SARIF-uitvoer voor code-scanning UI's. Draait in seconden op een Cursor-commit; draait in minuten op een codebase van 1M regels op Auralink-schaal.
AST-scanners voor Python, TypeScript, JavaScript, Go. Vijf regelcategorieën: vibe-code patronen, agent-security (tooldefinities, capability sprawl), LLM-applicatierisico's (prompt injection, niet-gesanitiseerde output), frameworkkwetsbaarheden, cloud-misconfiguraties. De patronen die SAST-tools niet hebben.
LLM-beoordeelde scoring (Mistral lokaal of gehost) rangschikt bevindingen opnieuw op basis van uitbuitbaarheid tegen jouw stack. Geen rapporten met 500 bevindingen die niemand leest — de top 10 zijn daadwerkelijk de top 10, met een korte uitleg waar een ontwikkelaar mee aan de slag kan.
210 regels verdeeld over 5 categorieën
AI-assistenten optimaliseren voor 'werkt,' niet voor 'veilig.' Achilles benoemt elk AI-gegenereerd anti-patroon dat we op grote schaal hebben gezien in meer dan 1M+ regels AI-geaugmenteerde code, en levert vervolgens een LLM-ranker die de echte risico's bovenaan het rapport zet.
47 RULESHardgecodeerde API-sleutels in prompt-templates, SQL via string-concat in 'alleen demo'-codepaden, onveilige deserialisatie, eval van LLM-uitvoer, geheimen gelogd op INFO. De cluster van patronen die worden geleverd wanneer 'werkt één keer' wint van 'werkt veilig.'
38 RULESTooldefinities zonder parametervalidatie, agentcapaciteiten die overlappen met beheerdersrechten, ontbrekende ratelimieten op LLM-aanroepbare tools, prompt-prefixes die systeemidentiteit lekken. De cluster die ervoor zorgt dat een jailbreak uitgroeit tot een incident.
52 RULESNiet-gesanitiseerde LLM-uitvoer gerenderd als HTML, prompt-injection vectors in door gebruikers gecontroleerde context, indirecte injectie via opgehaalde documenten, modeluitvoer doorgestuurd naar shell of eval, ontbrekende validatie van outputschema. De OWASP-LLM-Top-10 in concrete vorm.
43 RULESNext.js Server Action-blootstelling zonder authenticatie, FastAPI dependency injection-bypass, LangChain chain-of-thought-lekkage, Django ORM SQL-injectie via raw(), onveilige template-rendering. Per-framework regels, geen generieke taint-tracking.
30 RULESPublieke S3 met gevoelige prefixen, IAM-rollen met `*` acties, AWS Bedrock cross-account permissies, GCP Vertex AI blootgesteld in een context zonder serviceaccount. De cluster die ervoor zorgt dat een gelekt endpoint-URL uitgroeit tot een volledige data-exfiltratie.