Компанія Endor Labs, стартап у сфері безпеки додатків, який залучив понад 208 мільйонів доларів венчурного фінансування, представила AURI — платформу, що вбудовує аналітику безпеки в реальному часі безпосередньо в інструменти для кодування зі штучним інтелектом, які докорінно змінюють процес розробки програмного забезпечення. Продукт доступний безкоштовно для індивідуальних розробників та інтегрується з популярними помічниками для кодування на базі ШІ, зокрема Cursor, Claude та Augment, через протокол Model Context Protocol (MCP).
Ця новина з’являється на тлі тривожної статистики: хоча 90% команд розробників вже використовують ШІ-помічників для кодування, дослідження, опубліковане у грудні університетами Карнегі-Меллона, Колумбійським університетом та Університетом Джонса Гопкінса, виявило, що провідні мовні моделі генерують функціонально коректний код лише приблизно у 61% випадків, причому лише 10% з цього коду є одночасно функціональним та безпечним.
«Навіть попри те, що ШІ зараз може генерувати функціонально коректний код у 61% випадків, лише 10% цього результату є одночасно функціональним і безпечним», — заявив генеральний директор Endor Labs Варун Бадвар в ексклюзивному інтерв’ю. «Ці агенти кодування навчалися на відкритому коді з усього інтернету, тому вони засвоїли найкращі практики, але водночас вони навчилися відтворювати багато тих самих проблем безпеки, що існували в минулому».
Саме цей розрив між кодом, який працює, та кодом, який є безпечним, визначає ринок, на який орієнтується AURI, і обумовлює терміновість його запуску.
Криза безпеки, що приховується в революції кодування за допомогою ШІ
Щоб зрозуміти, чому Endor Labs розробила AURI, корисно усвідомити структурну проблему в основі розробки програмного забезпечення за допомогою ШІ. Моделі кодування на базі ШІ навчаються на величезних сховищах відкритого коду, зібраних з усього інтернету. Цей код містить не лише найкращі практики, а й добре відомі вразливості, незахищені патерни та недоліки, які можуть бути виявлені лише через роки після написання коду.
Бадвар, досвідчений підприємець у сфері кібербезпеки, який раніше створив RedLock (придбану Palo Alto Networks), разом із Дімітрі Стадіадісом заснував Endor Labs чотири роки тому. Початкова гіпотеза була простою: розробники перетворювалися на «збирачів програмного забезпечення», пишучи менше оригінального коду та імпортуючи більшість компонентів із репозиторіїв відкритого коду. Потім відбувся вибух інструментів для кодування на базі ШІ, які Бадвар описав як «можливість раз на покоління перебудувати життєвий цикл розробки програмного забезпечення за допомогою ШІ».
Приріст продуктивності є реальним: вища ефективність, швидший вихід на ринок та демократизація створення програмного забезпечення поза межами кваліфікованих інженерів. Однак наслідки для безпеки можуть бути руйнівними. Нові вразливості виявляються щодня в коді, який міг бути написаний десятиліття тому, а ця постійно оновлювана інформація про загрози нелегкодоступна для моделей, що генерують новий код.
«Щодня, щогодини виявляються нові вразливості в програмному забезпеченні, яке могло бути написане 5, 10, 12 років тому, і ця інформація нелегкодоступна для моделей», — пояснив Бадвар. «Якщо б ви почали фільтрувати все, що коли-небудь мало вразливість, у вас не залишилося б коду для навчання».
Результатом є зворотній зв’язок: інструменти ШІ генерують код з небаченою швидкістю, значна частина якого моделюється на незахищених патернах, а команди безпеки намагаються не відставати. Традиційні інструменти сканування, розроблені для світу, де люди писали та переглядали код з людською швидкістю, все частіше виявляються недостатньо потужними.
Як AURI відстежує вразливості в кожному шарі додатку
Ключовою технічною перевагою AURI є те, що Endor Labs називає своїм «графіком контексту коду» — глибокою картою на рівні функцій, яка показує взаємозв’язок власного коду програми, залежностей з відкритим кодом, шарів контейнерів та моделей ШІ. Тоді як конкуренти, такі як Snyk та GitHub Dependabot, аналізують, які бібліотеки імпортує додаток, і звіряють їх із відомими базами даних вразливостей, Endor Labs відстежує, як і де ці компоненти фактично використовуються, аж до окремого рядка коду.
«Ми маємо цей граф програмної інтелектуальної власності, який розуміє не лише те, які бібліотеки та залежності ви використовуєте, але й точно визначає, як, де і в якому контексті вони використовуються — аж до конкретного рядка коду, де ви викликаєте функцію, яка має вразливість», — сказав Бадвар.
Він проілюстрував різницю на конкретному прикладі. Розробник може імпортувати велику бібліотеку, як-от AWS SDK, але використовувати лише дві служби, що складають 10 рядків коду. Решта 99 000 рядків у цій бібліотеці відкритого коду недоступні для програми. Традиційні інструменти позначають кожну відому вразливість у всій бібліотеці. Повноцінний аналіз досяжності AURI відсікає ці нерелевантні результати.
Створення цієї можливості вимагало значних інвестицій. Endor Labs найняла 13 докторів наук, які спеціалізуються на аналізі програм, багато з яких раніше створювали подібні технології всередині компаній, таких як Meta, GitHub та Microsoft. Компанія проіндексувала мільярди функцій у мільйонах пакетів відкритого коду та створила понад пів мільярда вбудовувань для виявлення походження скопійованого коду, навіть коли назви функцій або структури були змінені.
Платформа поєднує цей детермінований аналіз із міркуваннями агентів ШІ. Спеціалізовані агенти працюють разом для автоматичного виявлення, класифікації та виправлення вразливостей, тоді як багатофайлові графи викликів та аналіз потоків даних виявляють складні помилки бізнес-логіки, що охоплюють декілька компонентів. Результатом, за даними Endor Labs, є середнє скорочення кількості знайдених проблем безпеки для корпоративних клієнтів на 80-95%, що економить «десятки мільйонів доларів на рік продуктивності розробників», які витрачаються на розслідування хибних спрацьовувань.
Безкоштовний рівень для розробників, платна платформа для підприємств
У рамках стратегічного кроку, спрямованого на швидке впровадження, Endor Labs пропонує основну функціональність AURI безкоштовно для індивідуальних розробників через MCP-сервер, який інтегрується безпосередньо з популярними IDE, зокрема VS Code, Cursor та Windsurf. Безкоштовний рівень не вимагає кредитної картки, реєстрації чи складного процесу авторизації.
«Ідея полягає в тому, що немає політики, адміністрування чи налаштувань. Це просто допомагає вашим інструментам генерації коду припинити створення нових вразливостей», — сказав Бадвар.
Розробники, які дбають про конфіденційність, відзначать ключове архітектурне рішення: безкоштовний продукт працює повністю на машині розробника. Лише непатентована інформація про вразливості завантажується з серверів Endor Labs. «Весь ваш код залишається локальним і сканується локально. Він ніколи не копіюється в AURI, Endor Labs чи будь-що інше», — пояснив Бадвар.
Корпоративна версія додає функції, необхідні великим організаціям: повну кастомізацію, конфігурацію політик, контроль доступу на основі ролей для команд з тисяч розробників та інтеграцію в CI/CD-пайплайни. Корпоративне ціноутворення базується на кількості розробників та обсязі сканувань. Варіанти розгортання включають локальне сканування, тимчасові хмарні контейнери та локальні кластери Kubernetes з повним розділенням клієнтів — гнучкість, яку, за словами Бадвара, «пропонує будь-який постачальник у цій галузі».
Фріміум-підхід повторює успішну стратегію таких компаній, як GitHub та Atlassian: спочатку залучити індивідуальних розробників, а потім розширюватися на їхні організації. Але це також відображає практичну реальність. У світі, де агенти кодування ШІ поширюються в кожній команді, Endor Labs має бути там, де пишеться код, а не чекати на процес закупівель.
«Понад 97% вразливостей, позначених нашим попереднім інструментом, були недоступні в нашому додатку», — заявив Тревіс МакПік, керівник відділу безпеки в Cursor, у заяві для VentureBeat. «AURI від Endor Labs показує ті кілька вразливостей, які є критичними, тому ми швидко виправляємо, зосереджуючись на тому, що важливо».
Чому Endor Labs вважає незалежність від ШІ-інструментів для кодування надзвичайно важливою
Ринок безпеки додатків стає все більш насиченим. Snyk, GitHub Advanced Security та зростаюча кількість стартапів змагаються за увагу розробників. Навіть самі постачальники моделей ШІ виходять на арену: Anthropic нещодавно оголосила про продукт безпеки коду, вбудований у Claude, що викликало переполох на ринку.
Однак Бадвар розглядає оголошення Anthropic як підтвердження, а не загрозу. «Це одне з найбільших підтверджень того, що ми робимо, оскільки це означає, що безпека коду є однією з найгарячіших проблем на ринку», — сказав він VentureBeat. Головне питання, стверджує він, полягає в тому, чи хочуть підприємства довіряти тому самому інструменту, який генерує код, і перевіряти його.
«Claude не буде єдиним інструментом, який ви будете використовувати для кодування з використанням агентів. Чи будете ви використовувати окремий продукт безпеки для Cursor, окремий для Claude, окремий для Augment та ще один для Gemini Code Assist?» — запитав Бадвар. «Чи хочете ви довіряти тому самому інструменту, який створює програмне забезпечення, і для його перевірки? Існують причини, чому у нас завжди були рецензенти, відмінні від розробників».
Він окреслив три принципи, які, на його думку, визначатимуть ефективну безпеку в епоху агентів: незалежність (перевірка безпеки має бути відокремлена від інструменту, що генерує код), відтворюваність (знахідки мають бути послідовними, а не ймовірнісними) та перевірюваність (кожна знахідка має бути підтверджена доказами). Це прямий виклик підходам, заснованим виключно на великих мовних моделях, які Бадвар охарактеризував як «цілком недетерміновані інструменти, над якими ви не маєте контролю щодо перевірюваності знахідок та послідовності».
Підхід AURI поєднує великі мовні моделі для того, що вони роблять найкраще — міркування, пояснення та контекстуалізацію — з детермінованими інструментами, що забезпечують послідовність, яку вимагають підприємства. Крім виявлення, платформа симулює шляхи оновлення та повідомляє розробникам, який шлях виправлення працюватиме без внесення руйнівних змін, що виходить за межі можливостей більшості конкурентів. Потім розробники можуть самостійно вносити ці виправлення або передавати їх агентам кодування ШІ з упевненістю, що зміни були детерміновано перевірені.
Результати реального світу демонструють, що AURI вже може знаходити уразливості нульового дня
Endor Labs вже продемонструвала можливості AURI у високопрофільних сценаріях. У лютому 2026 року компанія оголосила, що AURI виявила та підтвердила сім вразливостей безпеки в OpenClaw, популярному агентному ШІ-асистенті, які пізніше були підтверджені командою розробників OpenClaw. Як повідомляє Infosecurity Magazine, OpenClaw згодом виправив шість із цих вразливостей, які варіювалися від критичних помилок Server-Side Request Forgery до обходу шляхів та анонімного доступу.
«Це нульові дні. Їх ніколи не знаходили, але AURI зробив неймовірну роботу, виявивши їх», — сказав Бадвар. Компанія також виявляє активні кампанії з розповсюдження шкідливого програмного забезпечення в таких екосистемах, як NPM, зокрема відстежує кампанії, такі як Shai-Hulud, протягом кількох місяців.
Компанія має достатньо капіталу для підтримки свого розвитку. Endor Labs закрила раунд фінансування серії B на суму 93 мільйони доларів, який був перевиконаний, під керівництвом DFJ Growth, за участю Salesforce Ventures, Lightspeed Venture Partners, Coatue, Dell Technologies Capital, Section 32 та Citi Ventures. Компанія повідомила про 30-кратне зростання річного доходу та 166% чистого утримання доходу з моменту свого раунду серії A лише 18 місяцями раніше. Її платформа зараз захищає понад 5 мільйонів додатків і щотижня виконує понад 1 мільйон сканувань для таких клієнтів, як OpenAI, Cursor, Dropbox, Atlassian, Snowflake та Robinhood.
Кілька десятків корпоративних клієнтів вже використовують Endor Labs для прискорення відповідності нормативним вимогам, зокрема FedRAMP, стандартам NIST та європейському акту про кіберстійкість — зростаючий пріоритет, оскільки регулятори все частіше розглядають безпеку ланцюга поставок програмного забезпечення як питання національної безпеки.
Ставка на те, що безпека зможе йти в ногу з автономними програмними агентами
Ширше питання, яке виникає після запуску AURI — і всієї індустрії безпеки додатків — чи зможуть інструменти безпеки розвиватися достатньо швидко, щоб відповідати темпам розробки на основі ШІ. Критики агентної безпеки попереджають, що галузь рухається занадто швидко, надаючи агентам ШІ дозволи на критичні системи, не повністю розуміючи ризики. Бадвар визнав це занепокоєння, але стверджував, що опір марний.
«Я бачив, як це відбувалося, коли я створював продукти для хмарної безпеки, і люди боялися переходити на AWS», — сказав він. «Існувало сприйняття контролю, коли все було у вашому дата-центрі. Проте, вгадайте що? Це був найбільший рух свого часу, і ми як галузь створили правильні технології, інструменти безпеки та видимість навколо цього, щоб почуватися комфортно».
Для Бадвара найцікавішим наслідком агентної розробки є не нові ризики, які вона створює, а старі проблеми, які вона нарешті може вирішити. Команди безпеки десятиліттями боролися за те, щоб розробники надавали пріоритет виправленню вразливостей над створенням функцій. ШІ-агенти, стверджує він, не мають цієї проблеми — якщо їм надати правильні інструкції та правильну аналітику, вони просто виконують.
«Безпека завжди боролася через брак уваги розробників», — сказав Бадвар. «Але ми вважаємо, що ви можете привернути увагу ШІ-агента, який пише програмне забезпечення, надавши йому правильний контекст, інтегруючи його в правильні робочі процеси та просто змусивши його робити правильну річ для вас, щоб ви не перетворювали можливість автоматизації на проблему людини».
Це, як завжди, оптимістична інтерпретація від засновника, який побудував свою кар’єру на перетині тектонічних технологічних зрушень та прогалин у безпеці, які вони залишають. Чи зможе AURI реалізувати це бачення в масштабах, яких вимагає революція кодування на основі ШІ, ще належить побачити. Але у світі, де машини пишуть код швидше, ніж люди можуть його переглядати, альтернатива — сподіватися, що моделі самі по собі впораються з безпекою — це ставка, яку мало хто з підприємств може собі дозволити.
Прогноз ІТ-Блогу: Платформа AURI, поєднуючи глибокий аналіз коду з можливостями ШІ, ймовірно, стане стандартом для забезпечення безпеки в екосистемі генеративного ШІ. Очікується, що її успіх стимулюватиме появу нових інструментів, які зможуть не тільки виявляти, а й автоматично виправляти вразливості, ще більше прискорюючи цикл розробки програмного забезпечення.
За даними порталу: venturebeat.com