奇安信はコード安全知能体を発表し、「専門家級大脳多知能体協同」閉ループを構築する

3月12日、奇安信は正式に初のコードセキュリティエージェントを発売した。Qcodeエージェント。新たに設立されたAI会社の初の着地成果として、この製品はコードセキュリティ検査のインテリジェント化転換に焦点を当てている。

従来のツールとは異なり、Qcode Agentsは強調しています「マルチエージェント協同」によってエキスパート・レベルの推論、多機能統合、マルチ・シーン・カバレッジ、安全検査の深さを研究開発プロセスに埋め込み、交付効率を著しく向上させ、国産コードの安全検査の正式な参入を推進する全シーンスマートボディ(Full Scene Smart Body)の閉ループです。

奇安信氏によると、現在、AIセキュリティ製品のマトリックスを革新的に計画・開発しており、その後続々と市場に進出し、業界の顧客により高いレベルのインテリジェント化セキュリティソリューションを提供する。

　　Qcode Agentsとは何ですか。専門家級の脳を用いてAI幻覚と論理盲点を解読する

年初以来、AnthropicがClaude Code Securityを発表してから、OpenAIがOpen Code Securityを発表してまで、それらは相次いで業界内で強烈な反響を引き起こして、十分に大きいモデルのコード意味理解、安全検査補助などの方面の巨大な潜在力を展示しました。

しかし、AI時代には、セキュリティを応用するための核心的な矛盾が「規則一致速度」転向「論理理解の深さ」。大型モデル駆動による自動検証やAI応用の新要素に対するスキャンだけではまだ不足しており、業界ではベテラン専門家のように考え、深い実戦経験と論理推論能力を備えた「脳」が必要とされている。

奇安信Qcode Agentsの誕生は、AIにこの「専門家級の脳」この製品はAIサプライチェーンの新要素を全面的にカバーするだけでなく、さらに10年余りの現場の実戦経験をコード化し、インテリジェントボディにコードの背後にある業務ロジックを本当に「理解」させ、AIの「幻覚」とロジックの盲点を根源的に解決させる。

　　10年間の実戦経験、「汎用モデル」から「分野の専門家」への飛躍を実現

現在市場に多くのAIセキュリティツールが「不許可」になっているのは、その根源にある真の攻防論理的支えが欠けている。Qcode Agentsの「コアインテリジェント」は、奇安信独自の、十数年の実戦検証を経た脆弱性の発掘経験と高価値検出規則訓練してできた。この能力はすでに全面的にプラットフォームのMCPツール呼び出し、専門技能の実行、スクリプトの編成と標準化のワークフローを内在化し、Qcode Agentsの正確な判断の基礎を構成した。

　　プロセスの標準化：スキャンの初期化、脆弱性の位置決め、経路生成などの重要な一環をスマートボディの標準的な動作に硬化させ、検査過程に規則があることを確保する。

　　ナレッジリソース化：数万本の高品質検査規則を構造化再構築し、動的に呼び出すことができるリポジトリを構築し、スマートボディに明確な検査経路と厳密な論理判断を持たせる。

これはQcode Agentsが「盲目的な推測」に依存するのではなく、ベテランセキュリティ専門家のように正確に源を追跡し、伝統的なAIが「方向性がなく、論理が弱い」ことを検出する痛点を根本的に解決したことを示している。

　　全自動安全閉ループ：開発ライフサイクル全シーンを上書き

Qcode Agentsが作成した「知覚-分析-検証-修復-応答」の全自動セキュリティ閉ループ、コーディング、コミット、マージ要求から継続的な統合/導入までの開発者のすべての一環をシームレスに埋め込む。

　　認識：リアルタイムでコード変更を監視し、分析を即時に開始する。

　　解析：専門家レベルの検査エンジンを呼び出し、リスクを正確に位置決めする。

　　検証：脆弱性トリガパスを動的シミュレーションで再現し、誤報を解消する。

　　修正：コードレベルの修復提案を提供し、開発者を迅速に閉ループさせる。

　　応答：脆弱性を確認した後に自動的に修復プロセスを起動し、修復後のコードバージョンを同期して生成し、有効性を自動的に検証し、リスクが完全に解消されることを確保する。

この閉ループは、安全がDevOpsの内生能力になるように開発に「遅れ」ている局面を徹底的に変えた。

　　業務ロジック脆弱性盲点の破壊：大量のケースの賦能の正確な検出

ビジネスロジックの脆弱性（越権アクセス、競争条件、プロセスバイパスなど）は、従来のツールの「盲点」であり、ハッカー攻撃の被災地でもある。

Qcode Agentsは大量の真実な攻防事例を沈殿させることによって、水平/垂直越権、同時データ不一致、ビジネスフローバイパスなどの複雑なシーンを量子化可能に分解するわざめいれい。

　　深さモデリング：インテリジェントな体力はコードの背後にあるビジネスの意図、データの流れと権限制御を理解する。

　　証拠生成：リスクを発見するだけでなく、再現可能な脆弱性トリガパスを生成することができます。

実戦検証により、Qcode Agentsの業務論理脆弱性検出における表現は倍数レベルの向上を呈し、この重要な分野における業界の空白を本当に埋めたことが明らかになった。

　　AI応用サプライチェーンの安全境界の再構築：モデルからMCPまでの全要素保護

現在、AI応用のサプライチェーンはすでに伝統的なオープンソースコンポーネントの範疇であるモデルファイル、MCP（モデルコンテキストプロトコル）、Skillなどの新型要素をはるかに超えて攻撃面の延長の重点となっている。従来のSCAツールは、これらの新しいオブジェクトに直面すると、検出能力、検証能力、または分野の知識が不足して深刻な申告漏れと誤報が発生し、最終的なリスク誤審を招くことが多い。

Qcode AgentsはAIサプライチェーンの全要素をカバーする検出能力を構築し、モデル依存、MCPツール、Skill呼び出しリンクを分析視野に入れた。奇安信がソフトウェアサプライチェーン分野で10年近く蓄積した深い分野知識ベースと正確な関連モデル化を結合し、Qcode AgentsはAI応用のソフトウェア材料リストを自動的に生成し、オープンソースモデルの使用を明確に追跡し、AI応用中の各種の「隠れ依存」を正確に識別し、AI応用中の各種サプライチェーン安全リスクを逃げ場なくすることができる。

　　実力実証：既知のケースを再現し、主流プロジェクトの潜在的な脆弱性を発見

Qcode Agentsの検出能力は複数のテストで得られている完全な検証、予想を上回るパフォーマンスを得る：

　　業界標準の再現：Claude Code Securityのリリース時に公開された3つの典型的なセキュリティ脆弱性を完全に再現し、脆弱性トリガ条件、利用経路、潜在的な危害シーンを正確に復元し、その検出ロジックの先進性を証明する。

　　オープンソースプロジェクトの深さ検出：apache-ofbiz、apache-log 4 j、libpng、gpacなど広範に応用されている有名なオープンソースプロジェクトを選択し、的確な深さ検出を展開し、CVE脆弱性への対応に成功しただけでなく、業務ロジック欠陥とスタックオーバーフロークラスのハイリスク脆弱性を全面的に排除した。例えば、Apache OFBizを検出した場合、Qcode Agentsはログイン検証メカニズムの不備による迂回脆弱性を発見した。このような意味レベルの漏れは、従来の静解析では認識できなかった。Qcode Agentsは内在化した実戦経験によって、登録シーンの検証意味を正確に理解し、この隠蔽欠陥を捕獲することに成功した。

　　内部測定段階の重大な発見：openssl、tensorflow、opencv、memcached、RuoYiなどの主流のオープンソースシステムとフレームワークの中で、Qcode Agentsはすでに10余りの潜在的なセキュリティホールを識別し、予備検証とリスク等級判定を完了した。

Qcode Agentsの卓越した表現は、空中楼閣ではなく、奇安信に建てられたものだ10年余りのコード安全深耕のしっかりした土台の上にあります。

　　深い蓄積：キアンシンは、国内で最初にエンタープライズSAST（静的アプリケーションセキュリティテスト）の製品化を実現したメーカーの1つです。旗艦製品「コードガーディアン」は数十種類の言語をサポートし、数千種類の脆弱性タイプをカバーし、1000+大手企業の顧客にサービスを提供し、実戦検証を経た数万件の質の高い規則を蓄積した。

　　ポール検証：2025年初めに発表された「AI+コード衛士」は、北京銀行、人保科学技術などのヘッダー金融顧客の中に定着した。データによると、コード監査周期を83%超短縮し、人件費を従来モデルの1/6に下げ、ハイリスク脆弱性遮断率は95%を突破した。

　　おわりに

「コード衛士」から「AI+コード衛士」、そして今の「Qcode Agentsインテリジェント」まで、毎回実戦需要を締め付ける持続的な進歩と反復である。Qcode Agentsの発表は、製品の単純なアップグレードではなく、技術の蓄積、攻防の経験、顧客の実践一体となって、AIにコードを「理解させる」だけでなく、「業務を理解する」、「経験的エネルギーを賦与する」、「閉ループ処理」を可能にし、企業のために安心、高効率、信頼性の高いコードセキュリティシステムを構築しなければならない。