Безопасная инженерия ПО на практике - это многоэтапный воркфлоу, включающий анализ уязвимостей, их устранение и верификацию исправлений. Однако нынешние подходы к безопасности ПО на основе LLM часто фокусируются на изолированных задачах - например, детекции или генерации патчей - уделяя мало внимания агентным архитектурам, отражающим промышленный воркфлоу. Это создаёт разрыв между существующими методами работы с уязвимостями на базе LLM и реальной практикой.
В этой работе авторы изучают ролевой агентный воркфлоу для анализа и смягчения уязвимостей, состоящий из ролей Planner, Analyzer, Fixer и Verifier. Чтобы исследовать влияние инструмента статического анализа, агент-аналитик в одном из вариантов воркфлоу был интегрирован с CodeQL. Использованные модели: nemotron-cascade-2:30b, qwen3-coder-next и gpt-oss:120b.
Оценка проводится на 25 реальных уязвимостях C/C++. Исследование сообщает о 44% точности детекции уязвимостей (сопоставимо с GPT 5.5) и 19% точности исправлений. Авторы также перечисляют выводы из исследования в контексте практиков безопасности ПО.
Один LLM-агент без инструментов - это не security workflow, а чат с уверенностью.
Ролевой пайплайн Planner / Analyzer / Fixer / Verifier показывает, что безопасная работа с уязвимостями требует разделения ролей и инструментальной проверки. Veai работает ровно в этой логике: агент использует возможности JetBrains IDE - статанализ, сборку, тесты и навигацию по коду - чтобы исправление было проверяемым, а не просто убедительно описанным.
Перевод подготовлен технической командой Veai на основе arXiv:2606.14261. Первоисточник (англ.): arxiv.org/abs/2606.14261.