พรุ่งนี้อีกวัน แค่ใส่ URL ก็มี AI Agent 9 ตัววิเคราะห์ความปลอดภัยของบริการที่สร้างด้วยไวบ์โค้ดดิ้ง

 (naeildo.com)
2 คะแนน โดย gridatech 3 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

สวัสดีครับ/ค่ะ พวกเราเป็นทีมที่กำลังสร้าง Naeildo อยู่

ทุกวันนี้มีคนจำนวนมากขึ้นที่สร้างบริการได้อย่างรวดเร็วด้วยเครื่องมือเขียนโค้ดด้วย AI อย่าง Cursor และ Claude Code พวกเราก็เป็นหนึ่งในนั้น และวันหนึ่งก็เกิดคำถามขึ้นมาว่า "โค้ดนี้ปลอดภัยจริงหรือเปล่า?"

เราเลยตัดสินใจตรวจสอบด้วยตัวเอง เราได้นำบริการจริงของสตาร์ตอัปเกาหลี 28 แห่งมาวิเคราะห์ตามเกณฑ์ OWASP Top 10 และพบผลลัพธ์ที่ต่างจากที่คาดไว้

  • พบช่องโหว่ด้านความปลอดภัยใน 45% ของโค้ดที่ AI สร้างขึ้น
  • คะแนนความปลอดภัยเฉลี่ยของ 28 บริการ: 19.4 คะแนนจาก 100 คะแนน
  • ช่องโหว่ที่พบบ่อยที่สุด: hardcode API key, ไม่ตั้งค่าเวลาหมดอายุของ JWT, อนุญาต CORS ทั้งหมด

เราอยากแก้ปัญหานี้ จึงสร้าง Naeildo ขึ้นมา

ทำงานอย่างไร

เมื่อป้อน URL ระบบจะให้ AI Agent 9 ตัวแบ่งเป็น 3 ทีมเพื่อทำการวิเคราะห์

  • ทีม Guard (3 คน): วิเคราะห์โค้ดแบบสถิต, ตรวจสอบ dependency, ตรวจสอบความปลอดภัยของอินฟราสตรักเจอร์
  • ทีม Analyst (3 คน): ทดสอบความปลอดภัยแบบไดนามิก, ตรวจสอบการยืนยันตัวตน/การควบคุมสิทธิ์เข้าถึง, วิเคราะห์แพตเทิร์นโค้ดที่ AI สร้าง
  • ทีม Verifier (3 คน): ตรวจสอบการปฏิบัติตามมาตรฐาน OWASP, ตรวจสอบ compliance, cross-check ผลลัพธ์ทั้งหมด

หลังจากแต่ละ Agent วิเคราะห์อย่างอิสระแล้ว ระบบจะ cross-check ผ่านเส้นทางคู่ (การเก็บสัญญาณภายนอกจาก URL + การเชื่อมต่อ MCP server) เป็นโครงสร้างที่ให้ Agent ตัวหนึ่งช่วยจับจุดที่อีกตัวหนึ่งพลาดไป

ไม่จำเป็นต้องส่งโค้ดโดยตรง ระบบจะเก็บสัญญาณที่สังเกตได้จาก URL เช่น header, TLS, CORS, DNS และ metadata ของเนื้อหาเพื่อนำมาวิเคราะห์

ผลลัพธ์จากการวิเคราะห์

  • รายการช่องโหว่ + การจัดระดับความรุนแรง
  • คู่มือการปรับปรุงแบบเป็นขั้นตอน: ทำตามลำดับตั้งแต่ข้อ 1 ไปเรื่อย ๆ จนเสร็จ (มีตัวอย่างโค้ดแก้ไขให้ด้วย)
  • รายงาน PDF: สรุปผลการตรวจสอบความปลอดภัยในรูปแบบเอกสารที่สามารถแชร์ต่อได้
  • รูปแบบ Markdown: ในรูปแบบที่นักพัฒนานำไปใช้งานต่อได้ทันที

เหตุผลที่สร้าง

จากการสำรวจของ KISIA พบว่า 67.4% ของบริษัทในเกาหลีไม่ได้มีองค์กรด้านความปลอดภัยของตนเอง และมีบุคลากรที่รับผิดชอบด้านความปลอดภัยโดยเฉลี่ยเพียง 0.8 คนต่อบริษัท แม้อยากตรวจสอบความปลอดภัย ก็เป็นโครงสร้างที่เริ่มต้นได้ยากหากไม่มีผู้เชี่ยวชาญหรือการจ้างงานจากภายนอก

แม้ความเร็วในการสร้างบริการด้วยเครื่องมือเขียนโค้ดด้วย AI จะเพิ่มขึ้น แต่เรารู้สึกว่ายังขาดวิธีที่เข้าถึงได้ง่ายในการตรวจสอบโค้ดเหล่านั้น เราจึงเริ่มจากแนวคิดที่ว่า ถ้ามีเพียง URL เดียวแล้วลองรันวิเคราะห์ได้ทันที ก็น่าจะดี

เทคโนโลยีสแต็ก

  • เว็บแอปพลิเคชันบนพื้นฐาน Next.js
  • สถาปัตยกรรม Multi-AI Agent (3 ทีม 9 Agent: Guard / Analyst / Verifier)
  • ไปป์ไลน์ cross-check แบบหลายโมเดลบนพื้นฐาน URL

หากมีฟีดแบ็กหรือข้อสงสัย สามารถฝากไว้ในคอมเมนต์ได้เลย ยินดีรับคำถามเชิงเทคนิคเช่นกัน และจะตอบอย่างเต็มที่

https://naeildo.com

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
runableapp 2 시간 전

ถ้าคนที่สร้างด้วย AI สามารถใช้ AI เพื่อค้นหาและแก้ไขปัญหาความปลอดภัยได้อยู่แล้ว บริการนี้มีข้อดีอะไรเมื่อเทียบกับวิธีแบบนั้น?