04,03,2026 2vues
Le 12 mars, chiancian a officiellement lancé son premier Code Security Smart -Agents Qcode. premier résultat de sa nouvelle société ai, le produit se concentre sur la transformation intelligente de la détection de la sécurité du Code.
Contrairement aux outils traditionnels, QCode agents met l'accent sur« Multi - intelligent Synergy », avecRaisonnement de niveau expert, intégration Multi - capacités, couverture Multi - Scénarios, intégrer profondément l'inspection de sécurité dans le processus de R & D, améliorer considérablement l'efficacité de livraison, promouvoir l'inspection de sécurité du Code domestique« All scene intelligence »La boucle fermée.
M. chiancian a déclaré que la matrice de produits de sécurité ai avait été développée dans le cadre d'un programme innovant et qu'elle serait ensuite commercialisée pour fournir aux clients de l'industrie des solutions de sécurité intelligentes de niveau supérieur.
Qu’est - ce que QCode agents? Déchiffrer les hallucinations d'IA et les zones aveugles logiques avec un cerveau de niveau expert
Depuis le début de l’année, depuis le lancement de Claude Code Security par Anthropic jusqu’à la sortie d’open Code Security par openai, ils ont suscité de vives réactions au sein de l’industrie, démontrant ainsi l’énorme potentiel des grands modèles en matière de compréhension sémantique du Code, d’aide à la détection de sécurité et bien plus encore.
Cependant, à l'ère de l'IA, les contradictions fondamentales de la sécurité des applications sont passées de« RULES MATCH Speed »Tourner« la profondeur de la compréhension logique »La validation automatisée basée sur de grands modèles ou la numérisation de nouveaux éléments pour les applications d'IA restent insuffisantes, et l'industrie a besoin d'un « cerveau» capable de penser comme un expert chevronné, doté d'une expérience pratique approfondie et d'un raisonnement logique.
Chiancian QCode agents est né précisément pour donner à l'IA ce« Expert level Brain »Le produit couvre non seulement entièrement les nouveaux éléments de la chaîne d'approvisionnement de l'IA, mais codifie également plus de dix ans d'expérience de combat réel de première ligne, permettant aux agents intelligents de vraiment « comprendre» la logique commerciale derrière le Code et de résoudre à la racine l '« illusion» de l'IA et la zone aveugle de la logique.
Dix ans d'expérience en combat réel, permettant de passer du "modèle universel" au "spécialiste du domaine"
La raison pour laquelle de nombreux outils de sécurité de l'IA sur le marché actuel ne sont pas « acceptables» estManque de véritable soutien logique attaque - défense« Core intelligence » de QCode agents, exclusif à chiancian et testé en combat réel depuis des décenniesExpérience en exploitation de vulnérabilitésAvecRègles de détection de haute valeurFormé. Cette capacité a été entièrement intégrée aux appels d'outils MCP de la plate - forme, à l'exécution de compétences spécialisées, à l'orchestration de scripts de détection et aux flux de travail normalisés, qui constituent la pierre angulaire du jugement de précision des agents QCode.
Normalisation des processus:Solidifier les liens clés tels que l'initialisation du scan, la localisation des vulnérabilités, la génération de chemins, etc. en actions standard pour les agents intelligents, en veillant à ce que le processus de détection soit réglementé.
La valorisation des connaissances:Le Refactoring structuré de dizaines de milliers de règles de détection de haute qualité crée une bibliothèque de ressources pouvant être appelées dynamiquement, permettant aux agents intelligents d'avoir un chemin de détection clair et un jugement logique rigoureux.
Cela signifie que QCode agents ne s’appuie plus sur des « spéculations aveugles », mais plutôt sur une traçabilité précise, à l’instar d’experts en sécurité chevronnés, qui résout fondamentalement les points douloureux de la détection Ia traditionnelle « sans direction et avec une logique faible ».
Boucle fermée de sécurité entièrement automatique: couvre le scénario complet du cycle de vie du développement
QCode agents a créé« perception – analyse – vérification – réparation – réponse »Une boucle fermée entièrement automatisée et sécurisée qui intègre de manière transparente les développeurs à chaque étape, du codage, de la soumission, de la fusion des demandes à l'intégration / déploiement continu.
Perception:Surveillez les changements de code en temps réel et lancez l'analyse instantanément.
Analyse:Appelez un moteur de détection de niveau expert pour localiser les risques avec précision.
Vérification:Éliminez les faux positifs en simulant dynamiquement le chemin de déclenchement d'une vulnérabilité de réplication.
Réparation:Fournit des recommandations de réparation au niveau du Code pour guider les développeurs vers une fermeture rapide de la boucle.
Réponse:Le processus de réparation est déclenché automatiquement après la confirmation de la vulnérabilité, générant de manière synchrone la version de code corrigée et vérifiant automatiquement la validité, garantissant ainsi l'élimination totale des risques.
Cette boucle fermée a révolutionné la façon dont la sécurité « traîne» par rapport au développement, permettant à la sécurité de devenir véritablement une capacité endogène de devops.
Briser les zones aveugles des vulnérabilités de la logique métier: des cas massifs permettent une détection de précision
Les vulnérabilités de la logique métier (telles que l'accès ultra vires, les conditions de concurrence, le contournement des processus) ont été une « zone aveugle» pour les outils traditionnels et une zone critique pour les attaques de piratage.
QCode agents, en précipitant des masses de cas réels d'attaque et de défense, vaDépassement horizontal / vertical, incohérence des données concurrentes, contournement des flux commerciauxDes scénarios complexes, démontés pour être quantifiablesDirective sur les compétences- Oui.
Modélisation en profondeur:Le corps intelligent comprend les intentions commerciales, le flux de données et le contrôle des autorisations derrière le Code.
Génération de preuves:Non seulement les risques sont détectés, mais il est plus possible de générer des chemins de déclenchement de vulnérabilité répliquables.
La validation en temps réel montre que les performances de QCode agents en matière de détection de vulnérabilités dans la logique métier ont augmenté de façon exponentielle, comblant ainsi véritablement les lacunes de l'industrie dans ce domaine critique.
Réinventer les limites de la sécurité de la chaîne d'approvisionnement pour les applications d'IA: du modèle à la protection MCP full factor
À l’heure actuelle, la chaîne d’approvisionnement des applications d’ia va bien au - delà de la catégorie traditionnelle des composants open source – de nouveaux éléments tels que les fichiers de modèle, MCP (MODEL Context Protocol), skill et d’autres sont au centre de l’extension de la surface d’attaque. Face à ces nouveaux objets, les outils SCA traditionnels génèrent souvent des sous - déclarations et des faux positifs importants en raison d'un manque de capacité de détection, de validation ou de connaissance du domaine, ce qui entraîne une erreur de calcul des risques.
QCode agents a construit des capacités de détection couvrant tous les éléments de la chaîne d'approvisionnement de l'IA, en intégrant les dépendances du modèle, les outils MCP, les liens d'appel skill dans la vision analytique. En combinaison avec la base de connaissances approfondie de chiancian dans le domaine de la chaîne d'approvisionnement logicielle accumulée depuis près de 10 ans et la modélisation d'associations précises, QCode agents est capable de générer automatiquement des inventaires de matériel logiciel pour les applications d'IA, de retracer clairement l'utilisation de modèles open source, d'identifier avec précision Diverses « dépendances invisibles» dans les applications d'IA et de laisser une variété de risques de sécurité de la chaîne d'approvisionnement dans les applications d'IA nulle part.
Preuve de force: réplique de cas connus, découverte de vulnérabilités potentielles dans les projets Mainstream
La capacité de détection de QCode agents a été démontrée dans plusieurs testsVérification parfaiteObtenir une performance supérieure aux attentes:
Référence de l'industrie du retour:La réplication complète des trois vulnérabilités de sécurité typiques révélées lors de la publication de Claude Code Security, la restauration précise des déclencheurs de vulnérabilité, des chemins d'exploitation et des scénarios de compromission potentiels, démontre la sophistication de sa logique de détection.
Détection en profondeur des projets open source:Sélectionnez Apache - ofbiz, Apache - log4j, libpng, gpac et d'autres projets open source bien connus pour une large gamme d'applications, effectuez une détection en profondeur ciblée, non seulement pour reproduire avec succès les vulnérabilités cve correspondantes, mais aussi pour identifier plus complètement les failles de logique métier et les vulnérabilités à haut risque de la classe de dépassement de pile. Par exemple, lors de la détection d'Apache ofbiz, QCode agents a découvert une vulnérabilité de contournement en raison d'un mécanisme d'authentification de connexion incomplet, une lacune au niveau sémantique qui n'est tout simplement pas reconnue par l'analyse statique traditionnelle. Et QCode agents, avec une expérience de combat réel intériorisée et une compréhension précise de la sémantique de contrôle des scénarios de connexion, a réussi à capturer cette faille cachée.
Principales découvertes de la phase de test interne:Dans les principaux systèmes et Frameworks open source tels que OpenSSL, tensorflow, OpenCV, Memcached et Ruoyi, QCode agents a identifié plus de 10 vulnérabilités de sécurité potentielles et a effectué des vérifications préliminaires et des décisions de niveau de risque.
Dix ans d'affûtage de l'épée: le combat réel est le seul critère pour tester l'effet
L'excellence des agents QCode, pas dans le vide, mais construit sur chiancianPlus de dix ans de code en toute sécuritéSur une base solide.
Accumulation profonde:Chiancian a été l'un des premiers fabricants au pays à proposer des produits SAST (Static Application Security Test) de niveau entreprise. Le produit phare, Code Guardian, prend en charge des dizaines de langues, couvre des milliers de types de vulnérabilités, sert plus de 1 000 clients de grandes entreprises politiques et accumule des dizaines de milliers de règles de haute qualité qui ont fait leurs preuves.
Vérification du Benchmark:Publié au début de 2025, « ai + Code guardian» a atterri parmi les principaux clients financiers tels que la Banque de Pékin, la technologie de la protection des personnes et d'autres. Les données montrent qu’il a réduit les cycles d’audit de code de plus de 83%, réduit les coûts humains à 1 / 6 de ceux du modèle traditionnel et dépassé les 95% de taux d’interception des vulnérabilités à haut risque.
Mot de fin
De "Code Guard" à "ai + Code Guard" en passant par les "agents intelligents QCode" d'aujourd'hui, chaque fois est une progression continue et une itération qui répond aux besoins du combat réel. Le lancement de qiansin QCode agents n'est pas une simple mise à niveau du produit, maisAccumulation de technologie, expérience offensive et défensive, pratique clientL'intégration permet non seulement à l'IA de « comprendre le Code», mais également de « comprendre l'entreprise», de « Renforcer l'expérience» et de « fermer la boucle», afin de construire un système de sécurité du Code rassurant, efficace et fiable pour les entreprises.
