04,03,2026 0visualizações
Em 12 de março, a Qianxin lançou oficialmente o primeiro corpo inteligente de segurança de código -Agentes QcodeComo o primeiro resultado da sua recém-fundada empresa de IA, o produto se concentra na transformação inteligente da detecção de segurança de código.
Ao contrário das ferramentas tradicionais, os Agentes Qcode enfatizam“Colaboração Multi-Inteligente”Com o empreendimento.Raciocínio de nível especialista, integração de múltiplas capacidades, cobertura de múltiplos cenáriosIntegrar a profundidade da detecção de segurança no processo de pesquisa e desenvolvimento, melhorar significativamente a eficiência da entrega e promover a introdução oficial da detecção de segurança de códigos domésticos"Inteligência de toda a cena"O círculo fechado.
Qianxin disse que já planejou inovar e desenvolveu uma matriz de produtos de segurança de IA, que será lançada gradualmente no mercado para fornecer soluções de segurança inteligentes de nível superior aos clientes do setor.
O que são Qcode Agents? Destruir alucinações de IA e zonas cegas lógicas com cérebro de nível especialista
Desde o início do ano, desde o lançamento da Claude Code Security pela Anthropic até o lançamento da Open Code Security pela OpenAI, eles provocaram uma forte reação na indústria, mostrando o enorme potencial dos grandes modelos na compreensão semântica do código e na assistência à detecção de segurança.
No entanto, na era da IA, as principais contradições da segurança das aplicações"Velocidade de concordância das regras"VirarProfundidade da compreensão lógicaA validação automatizada baseada em grandes modelos ou a digitalização de novos elementos para aplicações de IA ainda não são suficientes, e a indústria precisa urgentemente de um "cérebro" capaz de pensar como um especialista veterano, com profunda experiência prática e raciocínio lógico.
O Qcode Agents nasceu para dar a IA"Cérebro de especialista"O produto não apenas abrange completamente os novos elementos da cadeia de suprimentos de IA, mas também codifica mais de uma década de experiência de batalha real na linha de frente, permitindo que os corpos inteligentes realmente "entendam" a lógica de negócios por trás do código e resolvam a "ilusão" de IA e a zona cega lógica da raiz.
Dez anos de experiência para passar do “modelo universal” ao “especialista no campo”
A razão pela qual muitas ferramentas de segurança de IA no mercado atual são “proibidas” é queFalta de verdadeira lógica defensivaE a "inteligência do núcleo" do Qcode Agents, exclusiva da Qianxin, após décadas de testes de guerra realExperiência em mineração de vulnerabilidadeseRegras de teste de alto valorformação. Essa capacidade é totalmente integrada em chamadas de ferramentas MCP da plataforma, execução de habilidades profissionais, programação de scripts de detecção e fluxos de trabalho padronizados, constituindo a pedra angular do julgamento preciso dos Agentes Qcode.
Padronização do processo:Torne a inicialização de varreduras, localização de vulnerabilidades e geração de caminhos em ações padrão para o corpo inteligente, garantindo que o processo de detecção seja regulamentado.
Recursos de conhecimento:A reestruturação de dezenas de milhares de regras de detecção de alta qualidade cria repositórios que podem ser invocados dinâmicamente para que os corpos inteligentes tenham caminhos de detecção claros e julgamentos lógicos rigorosos.
Isso significa que os Agentes Qcode não dependem mais de "especulações cegas", mas de rastreamento preciso como especialistas de segurança sêniores, fundamentalmente resolvendo os pontos dolorosos da detecção de IA tradicional "sem direção e lógica fraca".
Fechamento totalmente automático de segurança: abrange todo o cenário do ciclo de vida do desenvolvimento
O Qcode Agents"Percepção - Análise - Validação - Reparação - Resposta"O circuito fechado de segurança totalmente automático incorpora perfeitamente os desenvolvedores a cada etapa da codificação, submissão e solicitação de fusão à integração/implantação contínua.
Percepção:Monitore as mudanças de código em tempo real e inicie a análise instantaneamente.
Análise:Chame um motor de detecção de nível especialista para localizar os riscos com precisão.
Verificação:Elimina erros de alarme através de uma simulação dinâmica para reproduzir caminhos de disparo de vulnerabilidades.
Reparação:Proporcione sugestões de correção a nível de código para orientar os desenvolvedores a fechar o loop rapidamente.
Resposta:O processo de reparação é acionado automaticamente após a confirmação da vulnerabilidade, sincronizando a geração de versões de código reparadas e verificando automaticamente a validade para garantir que os riscos sejam eliminados completamente.
Esse ciclo fechado revolucionou a situação em que a segurança está “atrasada” no desenvolvimento, tornando a segurança realmente uma capacidade intrínseca do DevOps.
Quebrar a zona cega de vulnerabilidades lógicas de negócios: um grande número de casos permite detecção precisa
Vulnerabilidades lógicas de negócios (como acesso excessivo, condições de concorrência, contornação de processos) têm sido a "zona cega" de ferramentas tradicionais e a área de maior sofrimento para hackers.
Os Agentes Qcode, ao precipitar uma enorme quantidade de casos reais de defesa, vãoExcesso horizontal/vertical, inconsistência de dados simultâneos, desvio de fluxos de negóciosCenas complexas, desmontadas para quantificáveisInstruções de habilidades。
Modelagem Profundidade:O corpo inteligente entende a intenção de negócio por trás do código, o fluxo de dados e o controle de permissões.
Provas geradas:Não apenas detectar riscos, mas também gerar caminhos de acionamento de vulnerabilidades reprodutíveis.
As verificações reais mostraram que o desempenho dos Agentes Qcode na detecção de vulnerabilidades lógicas de negócios aumentou em níveis múltiplos, realmente preenchendo uma lacuna na indústria nesta área crítica.
Redefinir as fronteiras da segurança da cadeia de suprimentos para aplicações de IA: proteção integral do modelo ao MCP
Atualmente, a cadeia de suprimentos de aplicativos de IA está muito além dos componentes de código aberto tradicionais - novos elementos como arquivos de modelo, MCP (protocolo de contexto modelo) e Skill são o foco da extensão da superfície de ataque. Quando as ferramentas tradicionais de SCA enfrentam esses novos objetos, muitas vezes ocorrem falhas e erros graves devido à falta de capacidade de detecção, validação ou conhecimento de campo, o que resulta em erros de avaliação de risco.
O Qcode Agents desenvolve capacidades de detecção que abrangem todos os elementos da cadeia de suprimentos de IA, incorporando dependências de modelos, ferramentas MCP e ligações de chamadas de habilidades em uma visão analítica. Combinado com a base de conhecimento de campo profunda acumulada por quase uma década na cadeia de suprimentos de software e modelagem correlacional precisa, os Agentes Qcode podem gerar automaticamente uma lista de materiais de software para aplicativos de IA, rastrear claramente o uso de modelos de código aberto e identificar com precisão várias "dependências invisíveis" em aplicativos de IA, deixando os vários riscos de segurança da cadeia de suprimentos em aplicativos de IA invisíveis.
Prova de força: reprodução de casos conhecidos e identificação de vulnerabilidades potenciais em projetos mainstream
A capacidade de detecção do Qcode Agents foi obtida em vários testesVerificação perfeitaPara obter um desempenho superior ao esperado:
Recuperação do padrão da indústria:Uma reprodução completa das três principais vulnerabilidades de segurança típicas reveladas no lançamento do Claude Code Security, com a restauração precisa das condições de acionamento da vulnerabilidade, caminhos de utilização e cenários potenciais de dano, demonstrando o avanço de sua lógica de detecção.
Inspeção de profundidade de projetos de código aberto:Escolha projetos de código aberto conhecidos com amplas aplicações como apache-ofbiz, apache-log4j, libpng, gpac e outros, para realizar testes de profundidade direcionados, que não só reproduzem com sucesso as vulnerabilidades CVE correspondentes, mas também resolvem vulnerabilidades de alto risco como falhas lógicas de negócios e overflows de pilha. Por exemplo, ao detectar o Apache OFBiz, os agentes Qcode descobriram uma vulnerabilidade de contorno devido a um mecanismo de autenticação de login incompleto, uma omissão semântica que a análise estática tradicional simplesmente não reconhece. O Qcode Agents conseguiu capturar essa falha oculta com a experiência de batalha real interna para entender com precisão a semântica de verificação da cena de login.
Principais descobertas da fase de análise:Nos principais sistemas e frameworks de código aberto, como openssl, tensorflow, opencv, memcached e RuoYi, os Agentes Qcode identificaram mais de 10 potenciais vulnerabilidades de segurança e concluíram validações preliminares e classificações de risco.
Dez anos de 磨r uma espada: a batalha real é o único critério para testar o efeito
A excelência do Qcode Agents não é um gabinete aéreo, mas é construída no QianxinMais de dez anos de segurança de códigoSobre uma base sólida.
Profunda acumulação:Qianxin foi um dos primeiros fabricantes nacionais a implementar SAST (teste de segurança de aplicações estáticas) de nível empresarial. O principal produto, o Code Defender, suporta dezenas de idiomas, cobre milhares de tipos de vulnerabilidades, atende a mais de 1.000 grandes clientes governamentais e acumula dezenas de milhares de regras de alta qualidade comprovadas em combate.
Verificação de referência:O AI + Code Defender, lançado no início de 2025, já chegou aos principais clientes financeiros, como o Banco de Pequim e a Human Security Technology. Os dados mostram que ele reduziu o ciclo de auditoria de código em mais de 83%, reduziu os custos humanos para um sexto do modelo tradicional e ultrapassou a taxa de interceptação de vulnerabilidades de alto risco de 95%.
Palavra final
Desde o "Defender do Código" até o "AI + Defender do Código" e os "Agentes Qcode" de hoje, cada vez é um progresso contínuo e uma iteração de necessidades reais. O lançamento do Qcode Agents não é uma simples atualização do produto.Tecnologia acumulada, experiência ofensiva, prática do clienteEm conjunto, a IA não só “entende o código”, mas também “entende o negócio”, “capacita a experiência” e “elimina o ciclo fechado”, para construir um sistema de segurança de código tranquilo, eficiente e confiável para as empresas.
