«Vi finner at noen bug-klasser går bra med billigere modeller, og noen går mye bedre med frontier-modeller.» Det sier Philip Garabandic, sikkerhetsingeniør i TikTok og hovedvedlikeholder av AgentGG, om hvordan den nye åpne SAST-skanneren velger modell per oppgave.
AgentGG er sluppet under Apache 2.0 og snur den klassiske statiske analysen på hodet. I stedet for å matche kildekode mot kjente mønstre og dynge ned utvikleren med kandidater til manuell triage, leser agentene koden, følger imports og kallgrafen, og bekrefter funnet før de rapporterer det. Hver agent er en selvstendig markdown-fil med YAML-frontmatter som erklærer en betingelse, filmønstre og instruksjoner. Katalogen leveres med over 100 offisielle agenter.
Skanningen kjører i faser: et raskt rekognoseringspass kartlegger språk og rammeverk, agentene kjører i parallell, et valgfritt valideringspass merker hvert funn, og et siste pass setter CVSS-alvorlighet. AgentGG fungerer med Anthropic, OpenAI, Ollama, AWS Bedrock og Google Vertex AI, og Ollama lar deg skanne lokalt uten kostnad.
«Vi fant flere bugs og rundt 10-20 % færre falske positive, fordi vi lar deg legge pentest-scope inn i valideringskonteksten.» — Philip Garabandic, AgentGG
Hva bør du gjøre?
- Installer via npm (krever Node.js 20+) og kjør mot et repo. Rekognoseringspasset finner språk og rammeverk selv.
- Bruk Ollama lokalt for å skanne uten å sende kode til en sky-leverandør, men regn med svakere treff på kompleks forretningslogikk.
- Legg AgentGG i GitHub Actions scoped til diffen, så fanger du nye funn per pull request.