AI写代码的速度已经超过人工审核能跟上的节奏,安全团队怎么办?瑞典应用安全公司Detectify今天给出的答案是:让AI来审AI。
Detectify正式推出Detectify MCP Server,一个基于模型上下文协议(MCP)的集成层。这是Anthropic去年11月发布的开放标准,现已成为AI代理与外部工具交互的默认方式。通过这一层,Detectify的安全扫描引擎可以直接嵌入AI驱动的开发流程,让代理在代码生成的同时就能发现、验证并修复可利用的漏洞。
公司CEO Rickard Carlsson把核心逻辑说得很直接:"我们不是在跟AI的推理能力竞争,我们提供的是推理所需的专业级工具。"他把Detectify的扫描引擎比作测试运行器——代理可以像调用普通开发工具一样自然地调用安全扫描,从"人类偶尔查看的仪表盘"变成"代理主动编排的技能模块"。
这套服务器提供两项核心功能。一是"Find & Fix"自动化:把安全发现转化为结构化修复任务,代理生成补丁后触发Detectify验证扫描,确认修复后再提交人工审核。二是对话界面:用户用自然语言查询扫描结果、监控资产状态、提取高危发现。服务器远程托管,配置轻量,可对接各类AI工具。
Carlsson的论证指向一个技术细节:大语言模型擅长推理,但运作方式是概率性的,同样的问题可能给出不同答案。Detectify的编译型扫描引擎则提供确定性的验证层,在代码进入生产环境前充当事实核查。公司监控着数百万个动态变化的域名,MCP Server的目标是把这种规模化的安全能力注入代理工作流,让安全防护跟上工程速度。
过去一年来,安全厂商密集发布MCP服务器已成趋势。Legit Security、JFrog、TrojAI等公司都已推出类似集成。Detectify的差异化在于其实时验证闭环——不是只告诉代理"这里有漏洞",而是让代理能即时测试自己的修复是否生效。
背后的压力来自企业内部的两个"阴影":影子IT和影子AI。AI辅助编程在消除部分常见错误的同时,也大幅增加了软件、API和基础设施的总量,而传统的人工审核周期根本无法覆盖这种膨胀速度。Detectify的赌注是,安全扫描必须从周期性检查变成开发流程中的实时基础设施。
热门跟贴