Компания Hadrian представила OpenHack — инструмент для поиска уязвимостей в исходном коде с помощью LLM, который теперь доступен под лицензией MIT. Главная фишка релиза — полная совместимость с рабочими инструментами вайбкодеров: Claude Code, Cursor и Codex.

Разработчики из Hadrian уже обкатали эту методологию «в бою», обнаружив сотни багов (включая критические) в опенсорс-проектах, используемых правительством Нидерландов. Теперь эти возможности упакованы в готовый инструмент для сообщества.

Почему обычные промпты не работают

Большинство попыток просто скормить репозиторий модели с вопросом «найди тут дыры» заканчиваются горой галлюцинаций. Hadrian выделяют две причины провала:

1. Отсутствие фокуса: модель пытается ответить на всё сразу и делает это поверхностно.
2. Самопроверка: тот же агент, что нашел баг, сам же его и оценивает, подтверждая собственные ошибки.

Как устроен OpenHack

Процесс в OpenHack построен на строгом разделении ролей и сценариев:

• Сценарный подход: работа делится на четкие юниты. Один эксперт — один конкретный вопрос для проверки. Никаких общих промптов «найди что-нибудь».
• Независимый триаж: агент, предлагающий находку, никогда не является тем, кто её утверждает. Отдельный агент-контролер проверяет доказательства перед тем, как записать баг в отчет.
• Прозрачность (Artifact Trail): все промежуточные данные, логи экспертов и решения по триажу сохраняются в виде обычных файлов на диске. Весь процесс аудита можно проверить вручную.
• Агностичность: инструмент не привязан к конкретной модели. Его можно запускать через любой удобный интерфейс (Claude Code или Cursor) с любой поддерживаемой моделью.

Для вайбкодеров это отличная возможность добавить этап автоматизированного секьюрити-чека в свой пайплайн разработки без необходимости нанимать дорогостоящих аудиторов на ранних этапах проекта.