AI News Watcher
Tuesday, Jul 14, 2026  ·  Daily briefing
Feed Telegram
Daily briefing · By AI News Watcher · Jul 14, 2026 · 1 min read · Microsoft AI ← Back to feed

GitHub Copilot ищет уязвимости в коде — но пропускает критические daily

Команда /security-review доступна прямо в IDE, но независимые тесты нашли пробелы в её работе.

GitHub Copilot ищет уязвимости в коде — но пропускает критические
Редакция · Daily briefing

Встроить проверку безопасности прямо в рабочий процесс — мечта любого разработчика. Теперь Microsoft предлагает такую возможность с новой командой /security-review в GitHub Copilot, которая сканирует изменения в коде на уязвимости. Однако, как показывают независимые исследования, эта функция пока не гарантирует защиту от всех критических угроз.

Microsoft выпустила новую команду /security-review для GitHub Copilot в публичной предварительной версии. Она позволяет сканировать текущие изменения в коде на уязвимости непосредственно в приложении. Инструмент выдаёт высокоточные данные о безопасности, отсортированные по серьёзности и достоверности, а также предлагает действенные рекомендации, которые можно применить и перепроверить, не покидая Copilot.

Команда нацелена на выявление распространённых и значимых классов уязвимостей, таких как:

Однако независимые исследования показывают, что эффективность функции ограничена. Согласно отчёту Торонтского столичного университета, /security-review часто не обнаруживает критические уязвимости, например, SQL-инъекции, XSS и небезопасную десериализацию. Вместо этого инструмент чаще фокусируется на низкоприоритетных проблемах, таких как стиль кодирования и опечатки. Исследователи подчёркивают, что это указывает на разрыв между заявленными возможностями ИИ-помощников и их реальной эффективностью в обеспечении безопасности.

Команда /security-review доступна всем пользователям Copilot: Free, Pro, Business и Enterprise. GitHub заявляет, что код пользователей не используется для обучения моделей Copilot, что должно снизить опасения по поводу конфиденциальности и интеллектуальной собственности.

Функция /security-review добавляет удобный, первый слой защиты прямо в процесс разработки. Она может помочь выявить простые ошибки, но инженеры по-прежнему должны полагаться на специализированные инструменты статического анализа и ручной аудит для обнаружения и устранения сложных и критических уязвимостей.

Дополнительные источники

  1. https://copilot.github.trust.page/
  2. https://techcommunity.microsoft.com/blog/azuredevcommunityblog/demystifying-github-copilot-security-controls-easing-concerns-for-organizational/4468193
  3. https://arxiv.org/html/2509.13650v1
  4. https://about.gitlab.com/blog/gitlab-18-10-brings-ai-native-triage-and-remediation/
  5. https://docs.gitlab.com/user/duo_agent_platform/flows/foundational_flows/security_review/
  6. checkmarx.com
  7. dev.to

Источники

  1. https://github.blog/changelog/2026-07-14-security-reviews-now-available-in-the-github-copilot-app external
→ Опубликовано в Telegram: @agentic_ai_news/687