Nullsec-S1 запускає відкритий вихідний код безпеки LLM для застосунків, створених штучним інтелектом

Nullsec оголосила про запуск Nullsec-S1, відкритої системи безпеки на основі LLM, розробленої для перевірки застосунків, створених штучним інтелектом, автономних агентів та програмного забезпечення з вібекодом перед їхнім впровадженням.

Випуск відбувається на тлі того, що розробка програмного забезпечення входить у нову фазу. Застосунки, які раніше вимагали команд інженерів, довгих циклів розробки та кількох етапів перевірки, тепер можна створювати з підказок, твітів або робочих процесів автономних агентів. Ця зміна знижує бар’єр для створення програмного забезпечення, але водночас вводить новий виклик безпеки: уразливості тепер можуть створюватися з такою ж швидкістю, як і застосунки.

Nullsec-S1 був розроблений для протидії цій новій загрозі. Модель LLM побудована для виявлення проблем безпеки, які часто з’являються у програмному забезпеченні, створеному штучним інтелектом, включаючи зламану автентифікацію, небезпечну авторизацію, розкриті секрети, відкриті адміністративні маршрути, командні ін’єкції, SSRF, XSS, небезпечне завантаження файлів, зловживання інструментами MCP, небезпечні дозволи агентів, ризик залежностей та небезпечну логіку гаманця або транзакцій Web3.

На відміну від моделей загального призначення, які часто оптимізовані для генерації робочого програмного забезпечення, Nullsec-S1 зосереджена на безпековому аналізі. Її мета — не просто визначити, чи працює код, а оцінити, де він може зазнати збою під впливом зловмисного вводу, неправильного доступу, слабких дозволів або реальних умов виробництва.

Nullsec-S1 базується на сімействі моделей Qwen і донастроєна за допомогою QLoRA, що дозволяє команді адаптувати потужну відкриту модель для безпекового огляду без необхідності тренувати нову модель з нуля. Цей підхід відображає ширший тренд у відкритому штучному інтелекті, коли менші команди можуть адаптувати сильні базові моделі для дуже специфічних технічних випадків.

Ключовою частиною Nullsec-S1 є її структурований конвеєр безпеки. Програмне забезпечення, створене штучним інтелектом, аналізується через кілька рівнів, включаючи статичне виявлення шаблонів ризику, семантичне безпекове мислення, калібрування безпечного коду та детерміноване застосування. Система розроблена для повернення структурованих висновків із рівнем серйозності, доказами, шляхами експлуатації, рекомендаціями щодо виправлень, оцінками ризику та сигналами готовності до виробництва.

Nullsec також підкреслює, що Nullsec-S1 — це не лише виклик LLM. Доопрацьована модель пропонує структурований вердикт, але цей вердикт проходить через детермінований захисний шар, який валідовує схему виводу, застосовує жорсткі правила безпеки, повторно обчислює сигнали ризику та запобігає позначенню небезпечного коду як готового до виробництва, якщо залишаються критичні проблеми.

Такий двошаровий підхід спрямований зменшити залежність від необґрунтованих суджень моделі. У безпеці, де галюцинації, пропущений контекст або маніпуляції з вводом можуть мати серйозні наслідки, поєднання мислення на основі LLM із детермінованим застосуванням створює більш строгий і надійний процес перевірки.

Запуск Nullsec-S1 відображає ширший зсув у сфері безпеки програмного забезпечення. Оскільки застосунки, створені штучним інтелектом, та автономні агенти стають більш поширеними, безпека вже не може залишатися лише на кінці циклу розробки. Вона має наближатися до моменту створення, перевіряючи програмне забезпечення під час його створення, а не лише після розгортання.

Nullsec позиціонує Nullsec-S1 як перший крок до побудови шару безпеки для інтернету, створеного штучним інтелектом. Відкрита модель LLM орієнтована на розробників, команди безпеки, будівельників AI та проєкти інфраструктури агентів, яким потрібно перевіряти створене програмне забезпечення перед його передачею користувачам, гаманцям, базам даних, API або у виробниче середовище.

Оскільки штучний інтелект продовжує прискорювати створення програм, питання вже не лише у швидкості їхнього створення. Більш важливим є питання довіри до них.

Nullsec-S1 створена саме для цього питання.