Компанія Endor Labs, стартап у сфері безпеки програмного забезпечення, що отримав понад 208 мільйонів доларів венчурного фінансування, оголосила про запуск AURI – платформи, яка інтегрує розвідувальну інформацію про безпеку в режимі реального часу безпосередньо в інструменти кодування зі штучним інтелектом, що трансформують процес розробки програмного забезпечення. Продукт доступний безкоштовно для індивідуальних розробників та інтегрується з популярними помічниками зі ШІ-кодування, такими як Cursor, Claude та Augment, через Model Context Protocol (MCP).
Ця новина з’являється на тлі тривожної статистики. Хоча 90% команд розробників вже використовують ШІ-помічників для кодування, дослідження, опубліковане у грудні Університетом Карнегі-Меллона, Колумбійським університетом та Університетом Джонса Гопкінса, показало, що провідні моделі генерують функціонально коректний код лише приблизно в 61% випадків, а лише 10% цього вихідного коду є одночасно функціональним і безпечним.
“Навіть попри те, що ШІ наразі може генерувати функціонально коректний код у 61% випадків, лише 10% цього вихідного коду є одночасно функціональним і безпечним”, – заявив генеральний директор Endor Labs Варун Бадхвар у ексклюзивному інтерв’ю VentureBeat. “Ці інструменти кодування навчалися на відкритому коді з усього Інтернету, тому вони вивчили найкращі практики, але також засвоїли безліч тих самих проблем безпеки, що існували раніше”.
Цей розрив між робочим кодом і безпечним кодом визначає ринок, на який націлена AURI, та обумовлює нагальність її запуску.
Криза безпеки, що ховається в революції ШІ-кодування
Щоб зрозуміти, чому Endor Labs розробила AURI, варто розібратися в структурній проблемі, яка лежить в основі розробки програмного забезпечення за допомогою ШІ. Моделі кодування зі штучним інтелектом навчаються на величезних сховищах відкритого коду, зібраного з усього Інтернету. Цей код містить не лише найкращі практики, але й добре документовані уразливості, незахищені патерни та недоліки, які можуть бути виявлені лише через роки після початкового написання коду.
Бадхвар, який неодноразово займався кібербезпекою та раніше створив компанію RedLock (придбану Palo Alto Networks), заснував Endor Labs чотири роки тому разом із Дімітрі Стадіадісом. Основна ідея була простою: розробники ставали “збирачами програмного забезпечення”, пишучи менше оригінального коду та імпортуючи більшість компонентів із репозиторіїв відкритого коду. Потім вибухнули інструменти кодування на основі ШІ, які Бадхвар описав як “можливість раз на покоління переписати життєвий цикл розробки програмного забезпечення за допомогою ШІ”.
Приріст продуктивності є реальним: підвищення ефективності, скорочення часу виходу на ринок та демократизація створення програмного забезпечення для тих, хто не є професійними інженерами. Однак наслідки для безпеки потенційно руйнівні. Щодня виявляються нові уразливості в коді, написаному десятиліття тому, і ця постійно мінлива розвідувальна інформація не є легкодоступною для моделей, що генерують новий код.
“Щодня, щогодини, виявляються нові уразливості в програмному забезпеченні, яке могло бути написане 5, 10, 12 років тому, — і ця інформація не є легкодоступною для моделей”, – пояснив Бадхвар. “Якби ви почали фільтрувати все, що коли-небудь мало уразливість, вам би не залишилося коду для навчання”.
Результатом є зворотний зв’язок: інструменти ШІ генерують код з безпрецедентною швидкістю, значна частина якого базується на незахищених патернах, а команди безпеки намагаються встигнути. Традиційні інструменти сканування, розроблені для світу, де люди писали та переглядали код зі швидкістю людини, стають все більш неефективними.
Як AURI відстежує уразливості на всіх рівнях програми
Ключовою технічною відмінністю AURI є те, що Endor Labs називає своїм “графіком контексту коду” — глибокою картою на рівні функцій, яка показує взаємозв’язок між власним кодом програми, залежностями відкритого коду, контейнерними шарами та моделями ШІ. Тоді як конкуренти, такі як Snyk та Dependabot від GitHub, досліджують, які бібліотеки імпортує програма, та порівнюють їх із відомими базами даних уразливостей, Endor Labs відстежує, як і де ці компоненти фактично використовуються, аж до окремого рядка коду.
“Ми маємо цей граф знань про код, який розуміє не лише те, які бібліотеки та залежності ви використовуєте, а й точно визначає, як, де і в якому контексті вони використовуються — аж до конкретного рядка коду, де ви викликаєте функцію, яка має уразливість”, – сказав Бадхвар.
Він проілюстрував різницю на конкретному прикладі. Розробник може імпортувати велику бібліотеку, як AWS SDK, але використовувати лише дві служби, що складаються з 10 рядків коду. Решта 99 000 рядків у цій бібліотеці відкритого коду недоступні для програми. Традиційні інструменти позначають кожну відому уразливість у всій бібліотеці. Повноцінний аналіз досяжності AURI відсіює ці нерелевантні знахідки.
Створення цієї можливості вимагало значних інвестицій. Endor Labs найняла 13 докторів наук, які спеціалізуються на аналізі програм, багато з яких раніше створювали подібні технології всередині компаній, таких як Meta, GitHub та Microsoft. Компанія проіндексувала мільярди функцій у мільйонах пакетів відкритого коду та створила понад пів мільярда вбудовувань для визначення походження скопійованого коду, навіть якщо назви функцій або структури були змінені.
Платформа поєднує цей детермінований аналіз із міркуваннями агентного ШІ. Спеціалізовані агенти працюють разом для автоматичного виявлення, пріоритизації та виправлення уразливостей, тоді як багаторівневі графіки викликів та аналіз потоку даних виявляють складні помилки в бізнес-логіці, що охоплюють кілька компонентів. Результатом, за даними Endor Labs, є середнє скорочення виявлених проблем безпеки для корпоративних клієнтів на 80-95% — що, за словами Бадхвара, економить “десятки мільйонів доларів щорічно на продуктивності розробників”, втрачених через розслідування хибнопозитивних спрацювань.
Безкоштовний рівень для розробників, платна платформа для підприємств
У рамках стратегічного кроку, спрямованого на швидке впровадження, Endor Labs пропонує основну функціональність AURI безкоштовно для індивідуальних розробників через сервер MCP, який інтегрується безпосередньо з популярними IDE, включаючи VS Code, Cursor та Windsurf. Безкоштовний рівень не вимагає кредитної картки, реєстрації чи складного процесу оформлення.
“Ідея полягає в тому, що немає жодних політик, адміністративних налаштувань чи кастомізації. Це просто допомагає вашим інструментам генерації коду припинити створювати більше уразливостей”, – сказав Бадхвар.
Розробники, стурбовані конфіденційністю, відзначать ключове архітектурне рішення: безкоштовний продукт працює повністю на машині розробника. Лише невласницька розвідувальна інформація про уразливості завантажується з серверів Endor Labs. “Весь ваш код залишається локальним і сканується локально. Він ніколи не копіюється в AURI, Endor Labs чи будь-що інше”, – пояснив Бадхвар.
Корпоративна версія додає функції, необхідні великим організаціям: повну кастомізацію, конфігурацію політик, контроль доступу на основі ролей для команд із тисяч розробників та інтеграцію з конвеєрами CI/CD. Корпоративне ціноутворення базується на кількості розробників та обсязі сканувань. Варіанти розгортання включають локальне сканування, ефемерні хмарні контейнери та локальні кластери Kubernetes із повним ізолюванням багатокористувацького середовища — гнучкість, яку, за словами Бадхвара, “пропонує будь-який постачальник у цій сфері”.
Безкоштовна модель (freemium) відображає успішну стратегію компаній-розробників інструментів, таких як GitHub та Atlassian: спочатку залучити індивідуальних розробників, а потім розширюватися в їхні організації. Але це також відображає практичну реальність. У світі, де інструменти кодування зі ШІ поширюються по всіх командах, Endor Labs повинна бути там, де пишеться код, а не чекати на узгодження закупівлі.
“Понад 97% уразливостей, позначених нашим попереднім інструментом, були недоступні в нашій програмі”, – заявив Тревіс МакПік, керівник відділу безпеки в Cursor, у заяві, надісланій VentureBeat. “AURI від Endor Labs показує ті небагато уразливостей, які є значущими, тому ми швидко виправляємо, зосереджуючись на тому, що важливо”.
Чому Endor Labs вважає незалежність від інструментів ШІ-кодування необхідною
Ринок безпеки програмного забезпечення стає все більш конкурентним. Snyk, GitHub Advanced Security та зростаюча кількість стартапів змагаються за увагу розробників. Навіть постачальники моделей ШІ виходять на ринок: Anthropic нещодавно оголосила про продукт безпеки коду, вбудований у Claude, що викликало хвилі на ринку.
Однак Бадхвар розцінив анонс Anthropic як підтвердження, а не загрозу. “Це одне з найбільших підтверджень нашої роботи, оскільки це означає, що безпека коду є однією з найактуальніших проблем на ринку”, – сказав він VentureBeat. Він стверджував, що глибше питання полягає в тому, чи хочуть підприємства довіряти інструменту, що генерує код, також і його перевірку.
“Claude не буде єдиним інструментом, який ви використовуєте для агентного кодування. Чи будете ви використовувати окремий продукт безпеки для Cursor, окремий для Claude, окремий для Augment та ще один для Gemini Code Assist?” – запитав Бадхвар. “Чи хочете ви довіряти тому самому інструменту, який створює програмне забезпечення, для його перевірки? Є причина, чому ми завжди мали перевіряючих, відмінних від розробників”.
Він окреслив три принципи, які, на його думку, визначатимуть ефективну безпеку в епоху агентів: незалежність (перевірка безпеки має бути відокремлена від інструменту, що генерував код), відтворюваність (знахідки повинні бути послідовними, а не ймовірнісними) та перевірюваність (кожна знахідка повинна бути підтверджена доказами). Це прямий виклик суто LLM-орієнтованим підходам, які Бадхвар охарактеризував як “абсолютно недетерміновані інструменти, над якими ви не маєте контролю щодо перевірюваності знахідок та послідовності”.
Підхід AURI поєднує LLM для того, що вони роблять найкраще — міркування, пояснення та контекстуалізацію — з детермінованими інструментами, які забезпечують послідовність, необхідну підприємствам. Окрім виявлення, платформа моделює шляхи оновлення та повідомляє розробникам, який шлях виправлення спрацює без внесення руйнівних змін, що виходить за рамки більшості конкурентів. Після цього розробники можуть самостійно вносити ці виправлення або передавати їх агентам ШІ-кодування з упевненістю, що зміни були детерміновано перевірені.
Реальні результати демонструють, що AURI вже може знаходити уразливості нульового дня
Endor Labs вже продемонструвала можливості AURI у резонансних сценаріях. У лютому 2026 року компанія оголосила, що AURI виявила та підтвердила сім уразливостей безпеки в OpenClaw, популярному агентному асистентові ШІ, які пізніше були визнані командою розробки OpenClaw. Як повідомляє Infosecurity Magazine, OpenClaw згодом виправив шість з цих уразливостей, які варіювалися від критичних помилок Server-Side Request Forgery до обходу шляху та обходу автентифікації.
“Це уразливості нульового дня. Вони ніколи раніше не були знайдені, але AURI чудово впоралася з їхнім виявленням”, – сказав Бадхвар. Компанія також виявляла активні кампанії з розповсюдження шкідливого програмного забезпечення в екосистемах, таких як NPM, зокрема відстежувала кампанії, як-от Shai-Hulud, протягом кількох місяців.
Компанія має достатньо капіталу для продовження своєї діяльності. Endor Labs закрила понадплановий раунд фінансування серії B на суму 93 мільйони доларів у квітні 2025 року під керівництвом DFJ Growth, за участю Salesforce Ventures, Lightspeed Venture Partners, Coatue, Dell Technologies Capital, Section 32 та Citi Ventures. Компанія повідомила про 30-кратне зростання річного повторюваного доходу та 166% чисте збереження доходу з моменту отримання фінансування серії A лише за 18 місяців до цього. Її платформа зараз захищає понад 5 мільйонів додатків і щотижня виконує понад 1 мільйон сканувань для клієнтів, включаючи OpenAI, Cursor, Dropbox, Atlassian, Snowflake та Robinhood.
Кілька десятків корпоративних клієнтів вже використовують Endor Labs для прискорення відповідності вимогам таких фреймворків, як FedRAMP, стандарти NIST та європейський Закон про кіберстійкість (Cyber Resilience Act) — зростаючий пріоритет, оскільки регулятори все частіше розглядають безпеку ланцюжка поставок програмного забезпечення як питання національної безпеки.
Ставка на те, що безпека може йти в ногу з автономними програмними агентами
Більш широке питання, що висить над запуском AURI — і над усією індустрією безпеки програмного забезпечення — полягає в тому, чи зможуть інструменти безпеки розвиватися достатньо швидко, щоб відповідати темпам розробки, керованої ШІ. Критики агентної безпеки попереджають, що галузь рухається надто швидко, надаючи агентам ШІ дозволи до критичних систем, не розуміючи повністю ризиків. Бадхвар визнав це занепокоєння, але стверджував, що опір марний.
“Я бачив, як це відбувалося, коли я будував продукти для хмарної безпеки, і люди боялися переходити на AWS”, – сказав він. “Існувало сприйняття контролю, коли все було у вашому дата-центрі. Проте, знаєте що? Це був найбільший рух свого часу, і ми як галузь створили правильні технології та інструменти безпеки, а також видимість навколо нього, щоб почуватися комфортно”.
Для Бадхвара найбільш захоплюючим наслідком агентної розробки є не нові ризики, які вона створює, а старі проблеми, які вона нарешті може вирішити. Команди безпеки десятиліттями боролися за те, щоб розробники надавали пріоритет виправленню уразливостей над створенням нових функцій. На його думку, ШІ-агенти не мають такої проблеми — якщо їм надати правильні інструкції та правильну розвідувальну інформацію, вони просто виконають їх.
“Безпека завжди боролася через брак уваги розробників”, – сказав Бадхвар. “Але ми вважаємо, що ви можете отримати увагу ШІ-агента, який пише програмне забезпечення, надавши йому правильний контекст, інтегрувавшись у правильні робочі процеси та просто змусивши його робити правильні речі для вас, щоб ви не перетворювали можливості автоматизації на проблему людини”.
Це характерно оптимістична оцінка від засновника, який побудував свою кар’єру на перетині тектонічних технологічних зсувів та безпекових прогалин, які вони залишають. Чи зможе AURI реалізувати це бачення в масштабах, необхідних для революції ШІ-кодування, ще належить побачити. Але у світі, де машини пишуть код швидше, ніж люди можуть його переглянути, альтернатива — сподіватися, що моделі самі забезпечать безпеку — це ставка, яку мало хто з підприємств може собі дозволити.
Як захиститися (Порада ІТ-Блогу): Регулярно оновлюйте програмне забезпечення ваших інструментів розробки та перевіряйте наявність плагінів безпеки. Для підвищення захисту, де це можливо, використовуйте двофакторну автентифікацію для доступу до всіх ваших облікових записів розробника та систем управління кодом.
Інформація підготовлена на основі матеріалів: venturebeat.com