ChatGPT и DeepSeek пропускают до 50% уязвимостей в софте на Java и Python

Екатерина Быстрова 16 Марта 2026 - 19:15

Малый и средний бизнес

Корпорации

ГК «Солар»

Средства поиска уязвимостей

Уязвимости программ

GenAI (генеративный искусственный интеллект)

...

ChatGPT и DeepSeek пропускают до 50% уязвимостей в софте на Java и Python

Группа компаний «Солар» проверила, насколько хорошо большие языковые модели справляются с двумя самыми трудоёмкими задачами в безопасной разработке — триажем уязвимостей и их исправлением в коде. Итог исследования получился довольно показательный: популярные общедоступные модели ускоряют работу, но пока слишком часто ошибаются, чтобы полностью на них полагаться.

Эксперты Solar appScreener протестировали шесть LLM на 20 крупных приложениях на Java и Python, каждое объёмом более 100 тысяч строк кода. Для анализа использовали как облачные модели — GigaChat 3 PRO, ChatGPT 5.2 и DeepSeek 3.2, так и локальные решения on-premise, включая ChatGPT OSS, Mistral и специализированные модели DerTriage и DerCodeFix.

Сначала с помощью SAST-анализа в проектах нашли около 12 тысяч уникальных срабатываний, из которых почти 20% пришлись на уязвимости высокой критичности. После этого все модели получили одинаковый промпт с описанием уязвимости, фрагментом кода, трассой достижимости и идентификаторами CWE.

На этапе триажа результаты оказались неровными. В Java-проектах среди облачных моделей лучше всех выступил ChatGPT с точностью 60,9%, а DeepSeek показал лишь 50%. В Python-коде картина поменялась: DeepSeek добрался до 80%+, а ChatGPT показал 52,7%. Но лучший результат среди локальных решений продемонстрировала DerTriage — более 80% точности и для Java, и для Python.

С кодфиксом ситуация похожая. Для Java ChatGPT показал 61,8% точности, DeepSeek — 45,5%. В Python их показатели составили 46,6% и 44,8% соответственно. Локальная модель DerCodeFix снова оказалась впереди: 78,2% точности на Java и 83,1% на Python.

Главный вывод исследования простой: LLM действительно экономят время, но на самых ответственных этапах безопасной разработки универсальные модели пока не дают нужной надёжности. Если команда безоговорочно доверится таким инструментам, есть риск пропустить критичные уязвимости.

В «Соларе» также напоминают ещё об одной проблеме: использование облачных моделей может стать каналом утечки исходного кода. Поэтому для задач безопасной разработки компания рекомендует смотреть в сторону локальных моделей on-premise, которые работают в закрытом контуре и всё равно требуют проверки со стороны AppSec-инженера.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Марта 2026 - 08:58

Домашние пользователи

WhatsApp начал тестировать гостевые чаты для людей без аккаунта

WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) начал расширять тестирование гостевых чатов, которые позволяют переписываться с человеком, даже если у него нет аккаунта в мессенджере. Раньше эту функцию внедряли только в бете для Android, а теперь она стала появляться и у части тестировщиков на iOS, а также в веб-версии.

Механика довольно простая: пользователь WhatsApp может создать специальную ссылку через раздел «Пригласить друга» и отправить её любым удобным способом — например, по СМС или через другое приложение.

Если получатель откроет ссылку, у него запустится защищённая сессия чата через WhatsApp Web, то есть заводить полноценный аккаунт для этого не потребуется.

При этом в WhatsApp подчёркивают, что такие переписки всё равно защищены сквозным шифрованием. После перехода по ссылке система создаёт уникальный идентификатор, на основе которого формируется ключ шифрования. Иными словами, сам сервис не должен видеть содержимое таких сообщений, читать их могут только участники разговора.

Есть, впрочем, и важные ограничения. Начать такой диалог может только сам гость: ему нужно открыть ссылку, принять условия WhatsApp, ввести имя и уже после этого запустить переписку. В чате такой пользователь будет помечен как «Гость», а рядом появится предупреждение, что он не зарегистрирован в WhatsApp. При этом любой, у кого окажется ссылка-приглашение, теоретически сможет присоединиться к разговору.

Пока функция явно выглядит скорее как пробный формат, чем как полноценная замена обычным чатам. Сейчас гостевые чаты не поддерживают групповые беседы, голосовые сообщения, вложения, стикеры, GIF, а также голосовые и видеозвонки. Кроме того, такие переписки настроены на автоматическое завершение после 10 дней неактивности.

Функция может стать удобным способом втянуть в экосистему тех, кто мессенджером пока не пользуется, особенно на рынках, где WhatsApp до сих пор не так силён.

На данный момент гостевые чаты доступны лишь ограниченному числу бета-тестеров на Android, iOS и в вебе. Когда функция доберётся до широкого релиза, пока не сообщается.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!