Трепан: Локальный аудитор безопасности VS Code для кода, созданного ИИ

Trepan — это расширение для VS Code, которое решает проблему «Тихого долга безопасности ИИ» — уязвимостей в коде, предложенном ИИ, которые проходят компиляцию, но лишены архитектурного контекста безопасности. Оно выступает в роли локального защитника безопасности между помощниками по кодированию на основе ИИ и вашей кодовой базой.

Как работает Trepan

Инструмент использует подход «Нулевого базового уровня» для проверки предложений ИИ на соответствие локальным правилам безопасности. Он не просто угадывает; он обеспечивает соблюдение политик на основе файла .trepan/system_rules.md в вашем проекте.

• 100% локально: Использует Ollama для запуска проверок безопасности на вашем компьютере без утечки кода во внешние API
• Детерминированная проверка: Заставляет локальную LLM проверять предложенный код на соответствие вашим конкретным ограничениям безопасности перед принятием
• Контекстно-зависимый: Читает правила конкретного проекта, чтобы выявлять специфические логические ошибки, которые пропускают обычные линтеры

Что выявляет Trepan

Инструмент специально настроен на поиск галлюцинаций, которые обходят стандартный статический анализ:

• Небезопасные конечные точки API, предложенные ИИ
• Скрытые уязвимости DOM XSS во фронтенд-логике
• Жёстко закодированные секреты или «удобные» бэкдоры, которые ИИ может сгенерировать

Технические детали

Trepan имеет открытый исходный код под лицензией AGPLv3 и доступен в VS Code Marketplace. Разработчик экспериментирует с различными системными промптами для фазы аудита и ищет отзывы о логике аудита и инженерии промптов.

Разработчик просит сообщество высказаться о том, какие локальные модели (Llama 3, Mistral и др.) лучше всего подходят для аудита, ориентированного на безопасность, без чрезмерной задержки.