Команда SourceCraft (платформа для разработки от Яндекса) опубликовала подробный разбор того, как ИИ трансформирует классический статический анализ кода (SAST). На фоне релиза Claude Code Security от Anthropic, индустрия AppSec переходит от простого поиска багов к модели «нашёл, объяснил, помог исправить».

Проблема «шума» в классических инструментах

Главная боль вайбкодеров и классических разработчиков при использовании стандартных сканеров — колоссальное количество ложных срабатываний. По данным SourceCraft:

• До 91% предупреждений в опенсорс-проектах на GitHub — мусор.
• В Python-приложениях на Flask этот показатель достигает 99,5%.

Классические инструменты часто видят опасный паттерн, но не понимают контекста: достижим ли этот участок кода извне и можно ли его реально эксплуатировать.

Что такое AI SAST

SourceCraft внедряет LLM не как замену анализатору, а как интеллектуальный слой интерпретации. В новой парадигме ИИ берет на себя:

1. Триаж: автоматический отсев дублей и ложных срабатываний.
2. Анализ достижимости: проверку того, может ли злоумышленник реально дотянуться до уязвимого компонента.
3. Контекстное исправление: генерацию патчей, которые учитывают архитектуру конкретного проекта.

Что это значит для разработчиков

Для тех, кто пишет код с помощью курсора или агентов, это означает появление «умного предохранителя». Вместо того чтобы вручную разгребать сотни алертов, разработчик получает короткий список критических уязвимостей с готовыми предложениями по фиксу.

В SourceCraft подчеркивают, что просто «скормить репозиторий в промт» — плохая стратегия из-за ограничений контекстного окна и галлюцинаций. Будущее за гибридными системами, где классический алгоритм находит подозрительные места, а агентная надстройка их верифицирует.