Vigolium сканер уязвимостей с открытым исходным кодом

Vigolium — сканер уязвимостей с открытым исходным кодом, сочетающий детерминированное Сканирование с аудитом на основе искусственного интеллекта, — в этом месяце выпустил свою первую версию с открытым исходным кодом. Проект включает 235 модулей сканера и среду выполнения агента olium, работающую в процессе, которая обеспечивает автономное обнаружение конечных точек, планирование атак и классификацию обнаруженных уязвимостей.

Инструмент предлагает два пути сканирования. vigolium scan запускает многоэтапный детерминированный конвейер, охватывающий обнаружение контента, паутинное сканирование через браузер, а также активный и пассивный аудит. vigolium agent передает управление модулю на базе LLM, который выбирает модули, генерирует настраиваемые расширения JavaScript и выполняет аудит исходного кода наряду с динамическим сканированием.

Бюджетные ограничения и цена автономности агентов

Использование инструментов безопасности на основе агентов ставит перед операторами постоянный вопрос: сколько средств и времени следует разрешить автономному аудитору затратить, прежде чем его результаты перестанут быть полезными. Vigolium устанавливает ограничения на количество токенов, вызовов инструментов, итераций сортировки угроз и продолжительность работы по календарному времени.

Джесси Хо, автор инструментов, рассказала, что операторам следует подбирать ограничения в соответствии с задачей. Пентесты с фиксированным временем или запуски CI: ориентируйтесь на ограничения по реальному времени и количеству итераций, чтобы процесс всегда завершался. Углубленное исследование одной цели: ослабьте ограничения на токены и позвольте системе перепланировать работу. Широкие сканирования: держите бюджеты на каждую цель жесткими, иначе одна «запутанная» цель съест всё.

Он описал 2 сценария сбоев, связанных с недооценкой и переоценкой бюджета. Слишком малый бюджет — и агент прерывается на полпути, оставляя вас с малодостоверным фрагментом результата. Слишком большой — и он просто блуждает, тратит деньги и создает лишний шум. Его рекомендация новым пользователям — начинать с жестких ограничений и ослаблять их только тогда, когда прерывается реальная работа.

Трияж как отдельный этап

Выводы, звучащие правдоподобно, но не поддающиеся воспроизведению, остаются постоянной проблемой при тестировании безопасности с помощью LLM. Хо рассказал, что Vigolium решает эту проблему, запуская трияж в качестве отдельного прохода после сканирования. Сканер находит кандидатов, а затем отдельный проход перепроверяет каждого из них на соответствие имеющимся доказательствам.

Что касается дедупликации, в архитектуре предпочтение отдаётся слиянию, а не удалению. Система сворачивает только копии одной и той же проблемы, но никогда не принимает решения о сохранении или удалении спорных результатов. Всё, в чём агенты не уверены, понижается в приоритете и отображается, но никогда не удаляется незаметно.

Расширения, песочница и возможный реестр

JavaScript-движок Vigolium позволяет пользователям писать собственные модули сканирования и хуки с помощью HTTP-API, поддерживающих сессии. Расширения могут выполнять произвольные команды без песочницы. На вопрос о том, может ли появиться реестр сообщества, Хо осторожно отнесся к модели доверия, которую потребует такая система.

Расширения запускают произвольный код без песочницы, поэтому реестр — это, по сути, просто распространение исполняемых файлов, а подпись лишь указывает, кто их написал, но не гарантирует их Безопасность. По его словам, любой механизм обмена должен обеспечивать проверку происхождения и подпись, подход «недоверие по умолчанию» с явным согласием на участие, а также кураторский отбор вместо открытой подачи заявок. Небольшой набор проверенных расширений лучше, чем большой рынок непроверенных.

Открытое ядро, коммерческая консоль

Vigolium поставляется вместе с облачным продуктом под названием Cloud Console. Хо провел границу между ними с операционной точки зрения. Сканер — это открытое ядро, а операционная часть — коммерческая. Все, что обнаруживает ошибки, остается в репозитории AGPL. Консоль — это просто операционный уровень сверху: хостинг, совместная работа, масштабируемость, планирование.

По его словам, доверие участников зависит от лицензии и от видимого поведения на протяжении времени. Новые обнаружения сначала попадают в открытый репозиторий. В тот день, когда функционал начнёт выходить за пределы ядра с целью продвижения Консоли, это доверие исчезнет.

Vigolium доступен бесплатно на GitHub.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи

Комментарии (0)