Москва, Россия — 21 мая 2025 года Т-Банк разработал первого в России ассистента по информационной безопасности Safeliner на основе искусственного интеллекта (AI). Его задача — снизить нагрузку на продуктовые команды разработки в компании, быстрее реагировать на угрозы и не допускать появление уязвимостей в коде еще на этапе разработки. Использование AI-ассистента Safeliner поможет сэкономить Группе Т-Технологии более 1 млрд ₽ в год, минимизируя риски в сфере информационной безопасности и оптимизируя код в экосистеме Т. В будущем Т-Банк планирует открыть доступ к Safeliner другим компаниям на рынке. Несколько партнеров уже тестируют продукт. Safeliner может позволить разработчикам: существенно сократить расходы на устранение уязвимостей; снизить риски, связанные с уязвимостями в коде; сократить «срок жизни» потенциальных уязвимостей в несколько раз; снизить число ложных срабатываний инструментов поиска уязвимости приложений; глубже понимать природу уязвимостей за счет обучения на реальных примерах. AI-ассистент по информационной безопасности был внедрен в августе 2024 года и в настоящее применяется для внутренних задач Т-Банка. В результате внедрения Safeliner процессы поиска и исправления уязвимостей в компании ускорились до 5 раз. Дмитрий Гадарь, Вице-президент, директор департамента информационной безопасности Т-Банк: «В условиях высокого спроса на опытных ИТ-специалистов разработчики сосредоточены на развитии продукта и могут допускать ошибки, которые затем превращаются в уязвимости. Обучение безопасной разработке требует много времени и глубокого погружения, поэтому некоторые специалисты уделяют недостаточно внимания безопасности кода. Это создает дополнительные киберриски и ставит под угрозу безопасность продуктов. При помощи Safeliner мы реализуем подход shiftleft, который позволяет устранять потенциальные уязвимости еще на этапе написания кода без отвлечения и глубокого погружения в вопросы безопасности разработчика». AI-ассистент создан в привычной для разработчиков среде GitLab и использует большую языковую модель для генерации подсказок (LLM), а также исправлений в коде — разработчику нужно лишь принять исправление. Все модели работают внутри корпоративного контура — внешние API и сторонние сервисы не используются. Как работает AI-ассистент по информационной безопасности AI-ассистент анализирует потенциальные уязвимости, найденные инструментами статического анализа, отфильтровывает ложные срабатывания, генерирует понятные разработчикам подсказки и описания проблем безопасности. Дефекты подсвечиваются и исправляются AI-ассистентом практически в момент появления, что сокращает стоимость исправления. Данная технология не привязана к конкретным инструментам статического анализа (SAST), используемым в компании. Она легко адаптируется под требования организации и позволяет работать с любыми отчетами в формате SARIF — стандартном формате для обмена данными о результатах статического анализа кода. Safeliner интегрируется как с коммерческими решениями, так и с открытыми. С помощью технологии RAG, которая добавляет информацию из общедоступных и корпоративных баз знаний, AI-ассистент предлагает варианты автоматического исправления уязвимостей. Контекст обогащается на основе множества связанных источников данных, таких как: внутренняя база знаний; индустриальные стандарты и рекомендации от сообществ (например, OWASP); анализ графового представления кода (AST, DFG, CFG); описание уязвимости из отчета SARIF; разметка пользователя. Кроме того, Safeliner занимается сбором обратной связи от разработчиков по найденным уязвимостям для дальнейшего анализа этой информации и ее использования для корректировки правил поиска и алгоритмов исправления уязвимостей.