04,03,2026 2просмотры
12 марта компания Qianxin представила свой первый интеллектуальный код безопасности.Qcode АгентыВ качестве первого результата посадки своей недавно созданной компании AI, продукт фокусируется на интеллектуальном преобразовании тестирования безопасности кода.
В отличие от традиционных инструментов, Qcode Agents подчеркивает« Многоинтеллектуальная кооперация»С помощьюЭкспертные рассуждения, многофункциональная интеграция, многосценовое покрытиеГлубина обнаружения безопасности встроена в процесс исследований и разработок, значительно повышает эффективность доставки, способствует официальному внедрению тестирования безопасности отечественного кода« Интеллектуальное тело всей сцены»Закрытое кольцо.
Qianxin сказал, что в настоящее время инновационное планирование разработало матрицу продуктов безопасности ИИ, которая будет постепенно выводиться на рынок, чтобы предоставить клиентам отрасли более высокий уровень интеллектуальных решений безопасности.
Что такое Qcode Agents? Скачать иллюзии ИИ и логические слепые зоны с помощью экспертного мозга
С начала года, начиная с запуска Claude Code Security в Anthropic и заканчивая выпуском Open Code Security в OpenAI, они вызвали бурный отклик в отрасли, полностью продемонстрировав огромный потенциал больших моделей в понимании семантики кода и помощи в обнаружении безопасности.
Тем не менее, эпоха ИИ, основные противоречия прикладной безопасности были из« Скорость соответствия правил»поворот« Глубина логического понимания»Автоматизированная проверка, основанная исключительно на больших моделях, или сканирование новых элементов для применения ИИ по - прежнему недостаточны, и индустрия остро нуждается в « мозге», который может думать, как опытные эксперты, с глубоким практическим опытом и способностью к логическому рассуждению.
Qcode Agents был создан именно для того, чтобы дать ИИ это.« Мозг экспертного уровня». Продукт не только полностью покрывает новые элементы цепочки поставок ИИ, но и кодирует более десяти лет практического опыта первой линии, позволяя интеллектуальному телу действительно « понимать » бизнес - логику, стоящую за кодом, и решать « галлюцинации» ИИ и логические слепые зоны от корней.
Десять лет практического боевого опыта для достижения скачка от "общей модели" к "специалистам в области"
Причина, по которой многие инструменты безопасности ИИ на нынешнем рынке « запрещены», коренится в том, чтоОтсутствие реальной логики атаки.В то время как « основной интеллект» Qcode Agents, уникальный для Qianxin и проверенный более десяти лет фактического бояОпыт работы с лазейкамииПравила проверки высокой стоимостиТренировались. Эта способность полностью интегрирована в набор инструментов MCP платформы, выполнение профессиональных навыков, тестирование конфигурации сценариев и стандартизированные рабочие процессы, которые составляют основу точного суждения Qcode Agents.
Стандартизация процессов:Инициализация сканирования, позиционирование лазеек, генерация путей и другие ключевые аспекты закреплены в стандартных действиях интеллектуального тела, чтобы обеспечить процесс обнаружения в соответствии с правилами.
Ресурсы знаний:Структурированная реконструкция десятков тысяч высококачественных правил тестирования, создание динамически вызываемой базы ресурсов, которая дает интеллекту четкий путь обнаружения и строгое логическое суждение.
Это указывает на то, что Qcode Agents больше не полагается на « слепые домыслы», а скорее на точную прослеживаемость, как это делают старшие эксперты по безопасности, принципиально решая болезненные точки традиционного обнаружения ИИ « без направления и слабой логики».
Полностью автоматическое замкнутое кольцо безопасности: охватывающее весь жизненный цикл разработки
Разработчики Qcode Agents"Восприятие - анализ - проверка - восстановление - ответ"Полностью автоматизированное замкнутое кольцо безопасности, которое беспрепятственно встраивается разработчиком на каждом этапе от кодирования, подачи, консолидации запросов до непрерывной интеграции / развертывания.
Восприятие:Мониторинг изменений кода в режиме реального времени, мгновенный запуск анализа.
Анализ:Вызовите детектор экспертного уровня, чтобы точно определить риск.
Проверка:Путь запуска лазейки путем динамического моделирования для устранения ложных сообщений.
Восстановление:Предоставляет рекомендации по восстановлению уровня кода, направляя разработчиков на быстрое закрытие кольца.
Ответ:Подтверждение уязвимости автоматически запускает процесс исправления, синхронизирует генерацию исправленной версии кода и автоматически проверяет эффективность, гарантируя полное устранение риска.
Это замкнутое кольцо радикально изменило ситуацию, когда безопасность « запаздывает» в разработке, сделав безопасность действительно эндогенной способностью DevOps.
Прорыв слепой зоны бизнес - логики: огромное количество случаев дает возможность точного обнаружения
Уязвимость бизнес - логики (например, ultra vires доступ, условия конкуренции, обход процессов) всегда была « слепой зоной» для традиционных инструментов и наиболее пострадавшей от хакерских атак.
Qcode Agents, осаждая огромное количество реальных наступательных и оборонительных случаевГоризонтальное / вертикальное превышение полномочий, несогласованность параллельных данных, обход бизнес - потоковСложные сценарии, разобранные в поддающиеся количественной оценкеИнструкции по навыкамА.
Глубокое моделирование:Интеллектуальная физическая способность понимать бизнес - намерения, потоки данных и контроль прав, лежащие в основе кода.
Получение доказательств:Не только обнаруживает риски, но и создает воспроизводимый путь запуска уязвимостей.
Фактическая проверка показала, что эффективность Qcode Agents в обнаружении уязвимостей бизнес - логики многократно возросла, что действительно заполнило пробел в этой ключевой области промышленности.
Переосмысление границ безопасности цепочек поставок приложений ИИ: от модели до защиты всех элементов MCP
В настоящее время цепочка поставок приложений ИИ выходит далеко за рамки традиционной категории компонентов с открытым исходным кодом - новые элементы, такие как файлы моделей, MCP (контекстный протокол модели) и Skill, становятся в центре внимания расширения поверхности атаки. Когда традиционные инструменты SCA сталкиваются с этими новыми объектами, они часто приводят к серьезным упущениям и искажениям из - за отсутствия возможностей обнаружения, проверки или знаний в области, что приводит к окончательной ошибке риска.
Qcode Agents создает возможности для обнаружения, которые охватывают все элементы цепочки поставок ИИ, интегрируя в аналитические горизонты зависимость от модели, инструменты MCP и каналы вызова Skill. В сочетании с глубокой базой знаний Qianxin в области цепочки поставок программного обеспечения, накопленной за последние 10 лет, и точным моделированием корреляции, Qcode Agents может автоматически генерировать список программных материалов для приложений ИИ, четко отслеживать использование моделей с открытым исходным кодом, точно идентифицировать различные « невидимые зависимости» в приложениях ИИ, оставляя различные риски безопасности цепочки поставок в приложениях ИИ незамеченными.
Подтверждение силы: воспроизведение известных случаев и выявление потенциальных лазеек в основных проектах
Способность Qcode Agents к тестированию была продемонстрирована в нескольких тестах.Идеальная проверкаПолучение сверхожидаемой производительности:
Повторить отраслевые ориентиры:Полное воспроизведение трех типичных уязвимостей безопасности, которые были раскрыты во время выпуска Claude Code Security, точное восстановление условий запуска уязвимостей, использование маршрутов и сценариев потенциальной опасности, чтобы продемонстрировать продвинутую логику обнаружения.
Обнаружение глубины проекта с открытым исходным кодом:Выберите известные проекты с открытым исходным кодом, такие как apache - ofbiz, apache - log4j, libpng, gpac и другие широко используемые, и проведите целевое тестирование глубины, которое не только успешно воспроизводит соответствующие уязвимости CVE, но и более полно исследует недостатки бизнес - логики и уязвимости высокого риска переполнения стека. Например, при обнаружении Apache OFBiz агенты Qcode обнаружили уязвимость обхода, вызванную несовершенным механизмом проверки входа, семантическим пропуском, который не может быть идентифицирован традиционным статическим анализом. В то время как Qcode Agents использует свой практический опыт интернализации, чтобы точно понять семантику проверки сцены входа в систему, этот скрытый недостаток был успешно захвачен.
Основные выводы на этапе внутреннего исследования:В основных системах и фреймворках с открытым исходным кодом, таких как openssl, tensorflow, opencv, memcached и RuoYi, Qcode Agents выявил более 10 потенциальных уязвимостей безопасности и завершил предварительную проверку и определение уровня риска.
Десять лет, чтобы измельчить меч: фактический бой - единственный критерий для проверки эффективности
Превосходная производительность Qcode Agents не в воздухе, а основана на QianxinДесять лет безопасной работы.Над твердым основанием.
Глубокое накопление:Qianxin является одним из первых отечественных производителей для реализации SAST корпоративного уровня (Statistic Application Security Test). Флагманский продукт « Code Defender» поддерживает десятки языков, охватывает тысячи типов уязвимостей, обслуживает 1000 + крупных государственных и корпоративных клиентов, накапливая десятки тысяч высококачественных правил, проверенных в реальном бою.
Проверка буфера:Выпущенный в начале 2025 года « AI + Code Defender » приземлился среди ведущих финансовых клиентов, таких как Beijing Bank и Human Safety Technology. Данные показывают, что он сократил цикл аудита кода более чем на 83%, затраты на рабочую силу снизились до 1 / 6 в традиционной модели, а скорость перехвата уязвимостей высокого риска превысила 95%.
Заключительные замечания
От « Защитников кода» до « Защитников кода AI + » и до сегодняшних « интеллектуальных тел Qcode Agents» каждый раз это непрерывный прогресс и итерация, тесно связанные с фактическими боевыми потребностями. Выпуск Qcode Agents не является простым обновлением продукта, а скорее будетНакопление технологий, наступательный и оборонительный опыт, практика клиентовИнтеграция, не только позволяет AI « понимать код», но и иметь возможность « понимать бизнес», « эмпирические расширения возможностей», « замкнутое удаление», для предприятия, чтобы построить спокойную, эффективную, надежную систему безопасности кода.
