Gecko Security mengembangkan alat SAST baru berbasis LLM yang mampu menemukan kerentanan logika bisnis multilangkah yang tidak terdeteksi pemindai tradisional.
Mereka membuat indexer kode setara kompilator menggunakan Protobuf agar LLM mendapat informasi struktur dan tipe secara lengkap, mengatasi keterbatasan AST.
LLM dipakai untuk threat modeling: menganalisis niat developer, batas kepercayaan data, dan endpoint guna menghasilkan skenario serangan potensial.
Setiap skenario divalidasi dengan pencarian sistematis terhadap rantai panggilan sumber-ke-tujuan dan algoritme Monte Carlo Tree Self-refine untuk menilai kelayakan eksploitasi.
Pendekatan ini sudah menemukan lebih dari 30 CVE pada proyek OSS dan memberi 50% lebih sedikit false positive dibanding SAST tradisional bagi pelanggan.
Contoh keberhasilan: CVE-2025-51479 di ONYX yang memungkinkan kurator mengubah grup di luar wewenang; SAST biasa gagal mendeteksinya.
Pengurangan false positive dicapai dengan indexer akurat dan pertanyaan LLM yang sangat kontekstual, serta pelaporan lengkap rantai data dan PoC.
Get notified when new stories are published for "Berita Peretas 🇮🇩 Bahasa Indonesia"