Capital One publiserte VulnHunter som åpen kildekode denne uka, og verktøyet skiller seg fra vanlige sårbarhetsskannere på ett punkt: det starter der en angriper ville startet. Der tradisjonelle «sink-first»-skannere leter bakover fra farlige kodemønstre og drukner team i falske alarmer, begynner VulnHunter ved faktiske inngangspunkter som API-er, nettverksmeldinger og filopplastinger, og resonnerer seg forover gjennom applikasjonslogikken.
Det tekniske grepet Capital One fremhever mest, er en «falsification engine» bygget for å rive ned verktøyets egne konklusjoner. Etter at VulnHunter finner noe, kjører den en strukturert resonneringsrunde som leter etter antakelser som ikke holder, logiske hull i angrepsstien og forhold som ville stoppet angrepet. Funn som hviler på ubekreftede antakelser, forkastes før de når utvikleren.
«Hver sårbarhet som flagges, er én verktøyet har forsøkt og mislyktes i å avvise.» — Capital One, i annonseringen av VulnHunter
For deg som bygger, er poenget mindre «enda en skanner» og mer signalkvalitet: agentiske verktøy som spyr ut støy, blir slått av. Capital One rammer inn VulnHunter som et svar på at KI-modeller senker terskelen for å finne og utnytte sårbarheter, og at forsvarere trenger tilsvarende verktøy. Koden er utviklet internt og nå lagt ut åpent, så du kan lese resonneringsarbeidsflyten selv og prøve den mot din egen kodebase.
Hva bør du gjøre?
- Klon VulnHunter-repoet og kjør det mot et lite, kjent prosjekt først, så du ser hvordan falsification-motoren rangerer funn før du slipper det løs på produksjonskode.
- Sammenlign treffene med skanneren du bruker i dag, og mål andelen falske positiver over flere kjøringer, ikke bare på ett øyeblikksbilde.
- Behold nettverkskontroller og overvåking uansett; Capital One er tydelig på at kildekodeanalyse kommer i tillegg til, ikke i stedet for, tradisjonelle beskyttelser.