摘要: Gecko Security公司开发了一种新型的静态分析工具,利用LLM(大型语言模型)来发现传统扫描器可能遗漏的复杂业务逻辑和多步骤漏洞。该工具已在Ollama、Gradio和Ragflow等项目中发现30多个CVE。Gecko通过构建一个精确的代码索引器来解析代码,并使用LLM进行威胁建模,分析开发者意图、数据边界和暴露的端点以生成潜在的攻击场景。通过结合MCTSr算法和置信度评分,Gecko能够减少误报并发现传统SAST工具无法检测到的漏洞。
讨论: 该讨论内容主要围绕一个名为 ‘gecko’ 的代码安全扫描工具展开。用户们分享了他们对这个工具的使用体验,包括发现漏洞、工具的准确性、UI 体验以及与其他类似工具的比较。一些用户对 gecko 发现的漏洞表示怀疑,并提到了工具在处理错误时的不佳用户体验。此外,用户们还讨论了如何提高代码安全扫描的准确性,包括添加新的编程语言支持、上下文信息的利用以及如何处理大量误报等问题。
原文标题:Launch HN: Gecko Security (YC F24) – AI That Finds Vulnerabilities in Code
原文链接:https://news.ycombinator.com/item?id=44747204
讨论链接:https://news.ycombinator.com/item?id=44747204