KI-Agenten für die Applikationssicherheit Cognition stellt Devin Security Swarm vor

Von Berk Kutsal 2 min Lesedauer

Anbieter zum Thema

Cognition, Anbieter des Softwareentwicklungsagenten Devin, hat mit „Devin Security Swarm“ eine Lösung vorgestellt, die Sicherheitslücken automatisiert aufspüren, ihre tatsächliche Ausnutzbarkeit zur Laufzeit prüfen und Korrekturen direkt als Pull Request bereitstellen soll. Der Hersteller reagiert damit nach eigenen Angaben auf ein wachsendes Missverhältnis: KI-Agenten erzeugen Code schneller, als Sicherheitsteams ihn prüfen können.

Devin Security Swarm soll Schwachstellen nicht nur aufspüren, sondern ihre Ausnutzbarkeit in einer isolierten Sandbox validieren und Korrekturen als Pull Request bereitstellen. (Bild:  Cognition)
Devin Security Swarm soll Schwachstellen nicht nur aufspüren, sondern ihre Ausnutzbarkeit in einer isolierten Sandbox validieren und Korrekturen als Pull Request bereitstellen.
(Bild: Cognition)

Devin Security Swarm richtet sich an Sicherheitsteams in Unternehmen und ist ab sofort weltweit für Unternehmenskunden verfügbar. Die Lösung soll Schwachstellen nicht nur identifizieren, sondern auch validieren, ob sie sich zur Laufzeit tatsächlich ausnutzen lassen und sie anschließend im selben Workflow beheben, den Engineering-Teams bereits nutzen.

Den Bedarf begründet Cognition mit eigenen Zahlen: Die Menge monatlich identifizierter Sicherheitslücken in Unternehmen sei innerhalb von sechs Monaten von rund 1.000 auf mehr als 10.000 gestiegen. Als einen Treiber nennt das Unternehmen den wachsenden Anteil von Code, der vollständig oder teilweise mit KI erstellt wird – inzwischen 42 Prozent. Eine Quelle für diese Angaben nennt das Unternehmen nicht.

Parallele Analyse, Validierung in der Sandbox

Technisch basiert Devin Security Swarm dem Hersteller zufolge auf einer agentischen MapReduce-Architektur: Mehrere Agenten analysieren Dateien parallel und sollen so auch Schwachstellen aufdecken, die sich erst im Gesamtzusammenhang einer Anwendung zeigen – etwa Lücken in der Geschäftslogik oder das Umgehen von Authentifizierungen über mehrere Services hinweg. Jeden Befund reproduziert das System in einer isolierten Sandbox, um die Ausnutzbarkeit zur Laufzeit zu prüfen. Für bestätigte Sicherheitslücken erstellt Devin anschließend einen Patch und eröffnet automatisch einen Pull Request.

„Devin Security Swarm verschafft Sicherheitsteams Engineering-Kapazitäten, über die sie bislang nicht verfügten“, sagt Nick Wong, Security Engineering Lead bei Cognition. Die Teams könnten nun validieren, welche Lücken sich tatsächlich ausnutzen ließen, und sie direkt beheben, anstatt Befunde an das Engineering weiterzugeben und auf die Bearbeitung zu warten.

Die Leistungsfähigkeit belegt Cognition mit einem selbst durchgeführten Benchmark: In einem Test mit 50 realen Sicherheitslücken auf Basis veröffentlichter GitHub Security Advisories in 14 Programmiersprachen habe Devin Security Swarm 36 Schwachstellen identifiziert.

Ergänzend bietet Cognition das Devin Security Program an: ein sechswöchiges Programm, das den Sicherheitsstatus von Enterprise-Anwendungen bewerten und Unternehmen beim Abbau bestehender Schwachstellen-Backlogs unterstützen soll.

(ID:50888551)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung