Т-Банк: Safeliner ИИ-ассистент

Основные статьи:

• Виртуальные помощники

2025: Запуск ассистента

Т-Банк разработал первого в России ассистента по информационной безопасности Safeliner на основе искусственного интеллекта, внедрение которого позволит существенно снизить нагрузку на продуктовые команды разработки, ускорить реагирование на угрозы и предотвращать появление уязвимостей в коде еще на этапе разработки. О запуске сервиса банк сообщил 21 мая 2025 года.

По сообщению пресс-службы Т-Банка, использование ИИ-ассистента Safeliner поможет сэкономить группе «Т-Технологии» более ₽1 млрд в год за счет минимизации рисков в сфере информационной безопасности и оптимизации кода в экосистеме Т. В перспективе компания планирует открыть доступ к Safeliner другим организациям на рынке, причем несколько партнеров уже тестируют этот продукт.

𝓲

Фото: Т-Банк

Разработанный ИИ-ассистент предоставляет разработчикам возможности для существенного сокращения расходов на устранение уязвимостей, снижения рисков, связанных с дефектами в коде, а также уменьшения количества ложных срабатываний инструментов поиска уязвимостей в приложениях. Кроме того, Safeliner позволяет в несколько раз сократить «срок жизни» потенциальных уязвимостей и обеспечивает более глубокое понимание их природы благодаря обучению на реальных примерах.Создатели ALT Linux – о сложной судьбе свободного ПО, роли Максута Шадаева и сделке с «Ростелекомом». Подкаст TAdviser 17.5 т

ИИ-ассистент по информационной безопасности был внедрен внутри Т-Банка в августе 2024 года, и с момента запуска процессы поиска и исправления уязвимостей в компании ускорились до 5 раз. Safeliner разработан в привычной для программистов среде GitLab и использует большую языковую модель для генерации подсказок и автоматического исправления проблемных участков кода. Важной особенностью системы является то, что все модели работают внутри корпоративного контура, без использования внешних API и сторонних сервисов.

В условиях высокого спроса на опытных ИТ-специалистов разработчики сосредоточены на развитии продукта и могут допускать ошибки, которые затем превращаются в уязвимости. Обучение безопасной разработке требует много времени и глубокого погружения, поэтому некоторые специалисты уделяют недостаточно внимания безопасности кода. Это создает дополнительные киберриски и ставит под угрозу безопасность продуктов. При помощи Safeliner мы реализуем подход shiftleft, который позволяет устранять потенциальные уязвимости еще на этапе написания кода без отвлечения и глубокого погружения в вопросы безопасности разработчика, сказал Дмитрий Гадарь, Вице-президент, директор департамента информационной безопасности Т-Банк.

Технология работы ИИ-ассистента по информационной безопасности построена на анализе потенциальных уязвимостей, обнаруженных инструментами статического анализа. Safeliner фильтрует ложные срабатывания, генерирует понятные разработчикам подсказки и описания проблем безопасности. Дефекты подсвечиваются и исправляются практически в момент появления.

Данная технология не привязана к конкретным инструментам статического анализа (SAST), используемым в компании. Она легко адаптируется под требования организации и позволяет работать с любыми отчетами в формате SARIF — стандартном формате для обмена данными о результатах статического анализа кода. Safeliner интегрируется как с коммерческими решениями, так и с открытыми.

С помощью технологии RAG, которая добавляет информацию из общедоступных и корпоративных баз знаний, ИИ-ассистент предлагает варианты автоматического исправления уязвимостей. Контекст обогащается на основе множества связанных источников данных, таких как:

• внутренняя база знаний;
• индустриальные стандарты и рекомендации от сообществ (например, OWASP);
• анализ графового представления кода (AST, DFG, CFG);
• описание уязвимости из отчета SARIF;
• разметка пользователя.

Кроме того, Safeliner занимается сбором обратной связи от разработчиков по найденным уязвимостям для дальнейшего анализа этой информации и ее использования для корректировки правил поиска и алгоритмов исправления уязвимостей.