Introduction
GitHub Security Lab a développé un framework open source d'IA pour détecter les vulnérabilités de sécurité dans les projets open source. Ce framework, appelé Taskflow Agent, utilise des flux de travail pour automatiser la recherche de vulnérabilités et a déjà permis de détecter plus de 80 vulnérabilités.
Contexte Technique
Le framework Taskflow Agent utilise des fichiers YAML pour décrire les tâches à effectuer avec un modèle de langage (LLM). Les tâches sont exécutées séquentiellement et les résultats sont passés d'une tâche à l'autre. Le framework peut également exécuter les mêmes tâches sur plusieurs composants de manière asynchrone.
Les flux de travail sont conçus pour minimiser les hallucinations et les faux positifs en utilisant une modélisation de menace pour diviser les composants en fonction de leurs fonctionnalités et en collectant des informations sur les points d'entrée et les privilèges intentionnels.
Analyse et Implications
L'utilisation du framework Taskflow Agent a permis de détecter des vulnérabilités à haut impact avec un taux de vrais positifs élevé. Les résultats montrent que le framework est efficace pour détecter des vulnérabilités de sécurité dans les projets open source.
Cependant, il est important de noter que le framework nécessite une licence GitHub Copilot et que les prompts utilisés sont des requêtes de modèle premium.
Perspective
Le framework Taskflow Agent est open source et peut être utilisé par d'autres équipes pour détecter des vulnérabilités de sécurité dans leurs propres projets. Il est important de surveiller les limites et les prochaines étapes du framework, notamment en termes de personnalisation et d'intégration avec d'autres outils de sécurité.
