Технологическая платформа Авито внедрила систему на базе генеративного ИИ для выявления уязвимостей в программном коде. Решение автоматически обнаруживает чувствительные данные — пароли, API-ключи и токены доступа — которые могут представлять угрозу безопасности, если окажутся в руках злоумышленников.

Как рассказали Вечерним ведомостям в пресс-службе площадки, технология позволила в среднем ускорить проверки в пять раз. Система обнаруживает 99% реальных угроз и экономит до 25% рабочего времени специалистов. Для анализа 50 тысяч потенциальных угроз, найденных традиционным сканером, ИИ-модели требуется 6-8 часов, тогда как специалисту по безопасности понадобилось бы около полугода работы.

В основе решения лежит собственная модель Авито A-Vibe, обученная на тысячах примеров уязвимостей. Она работает вместе со сканером кода DeepSecrets, разработанным компанией и доступным для всех разработчиков на GitHub. В отличие от обычных сканеров с заданными правилами, модель учитывает контекст кода. Для исключения пропуска уязвимостей используется многоуровневый подход с дополнительными алгоритмами проверки и выборочным контролем качества.

Как отметил руководитель по информационной безопасности Авито Андрей Усенок, технология позволяет специалистам сосредоточиться на других задачах.



В будущем команда Авито намерена использовать ИИ для автоматической оценки рисков и моделирования угроз на этапе проектирования новых сервисов. Также компания рассматривает возможности новых технологий для использования на всех этапах разработки – от планирования до анализа инцидентов.

Поддержать редакцию