SecureVibes — ИИ-инструмент для автоматической проверки

Home SecureVibes — ИИ-инструмент для автоматической проверки
secureVibe

SecureVibes — ИИ-инструмент для автоматической проверки безопасности кода

SecureVibes, созданный разработчиком Аншуманом Бхартьей (Anshuman Bhartiya), использует Claude AI от Anthropic через многоагентную систему для автоматического обнаружения уязвимостей в кодовой базе.

Выпущенный в октябре 2025 года, этот сканер на Python делает профессиональный анализ безопасности доступным даже тем, кто не является экспертом в кибербезопасности.

🧠 Как работает SecureVibes

В основе инструмента — пять специализированных ИИ-агентов, которые взаимодействуют между собой, как команда аналитиков по безопасности:

  1. Assessment Agent — анализирует архитектуру проекта, создаёт файл SECURITY.md, где описывает потоки данных и зависимости.
  2. Threat Modeling Agent — применяет методологию STRIDE для выявления потенциальных угроз и формирует файл THREAT_MODEL.json.
  3. Code Review Agent — проверяет код с учётом найденных угроз, фиксирует уязвимости и создаёт VULNERABILITIES.json с подробной информацией (пути к файлам, номера строк и т. д.).
  4. DAST Agent (опционально) — проводит динамическое тестирование работающего приложения через указанный URL и добавляет проверку эксплуатационной возможности уязвимостей.
  5. Report Generator — собирает результаты в удобные отчёты (Markdown или JSON).

🌍 Поддерживаемые языки и исключаемые директории

SecureVibes поддерживает 11 языков программирования, автоматически определяет тип проекта и исключает ненужные каталоги, чтобы избежать ложных срабатываний:

Язык Расширения Исключаемые директории
Python .py venv/, env/, .venv/, pycache/, .tox/, .eggs/
JavaScript .js, .jsx node_modules/, .npm/, .yarn/
TypeScript .ts, .tsx node_modules/, dist/, build/
Go .go vendor/, bin/, pkg/
Ruby .rb vendor/, .bundle/, tmp/
Java .java target/, build/, .gradle/, .m2/
PHP .php vendor/, .composer/
C# .cs bin/, obj/, packages/
Rust .rs target/
Kotlin .kt build/, .gradle/
Swift .swift .build/, .swiftpm/, Packages/

Инструмент корректно обрабатывает многоязычные проекты, выполняя комплексное сканирование.

screenshot 2025 11 12 122827
screenshot 2025 11 12 122827

⚙ Установка и использование

Установка проста:

pip install securevibes

(для стабильной версии) или клонируйте репозиторий GitHub для последней сборки.

Пользователь проходит аутентификацию через CLI-сессию Claude или API-ключ, затем запускает команду:

securevibes scan .

Можно настроить уровень подробности, фильтрацию по критичности уязвимостей или запуск отдельных агентов для экономии ресурсов.

💡 Чем SecureVibes отличается от классических сканеров

В отличие от инструментов вроде Semgrep или Bandit, SecureVibes применяет контекстно-осознанный подход, объединяя несколько агентов, что резко снижает количество ложных срабатываний.

В собственных тестах инструмент нашёл 16–17 уязвимостей в своём коде — в 4 раза больше, чем одиночный ИИ (Claude Code), при этом традиционные SAST-инструменты не нашли ни одной.

Стоимость проверки невысока — около $2–3 за сканирование при использовании модели Sonnet. Более глубокий анализ через Opus стоит дороже.

🔐 Безопасность и конфиденциальность

SecureVibes уделяет особое внимание защите данных:

  • к Anthropic отправляется только код и относительные пути файлов,
  • секреты и абсолютные пути не передаются,
  • перед сканированием рекомендуется ознакомиться с политикой конфиденциальности Anthropic.

Инструмент также имеет Python API, что позволяет интегрировать его в CI/CD-пайплайны для автоматических проверок безопасности.

🚀 Развитие проекта

SecureVibes распространяется на GitHub под лицензией AGPL и активно развивается: недавно добавлены функции DAST-проверок и новые навыки (skills) для продвинутого тестирования.

По словам Бхартьи, по мере того как vibecoding становится всё более популярным, такие инструменты смогут закрыть брешь в безопасности при разработке с помощью ИИ — помогая разработчикам выпускать более безопасные приложения быстрее.