Naeildo: Chỉ cần nhập URL, 9 AI agent sẽ phân tích bảo mật cho dịch vụ vibe coding của bạn

 (naeildo.com)
2 điểm bởi gridatech 3 ngày trước | 5 bình luận | Chia sẻ qua WhatsApp

Xin chào, chúng tôi là đội ngũ đang xây dựng Naeildo.

Ngày càng có nhiều người tạo dịch vụ rất nhanh bằng các công cụ lập trình AI như Cursor hay Claude Code. Chúng tôi cũng là một trong số đó, và rồi một ngày chợt còn lại câu hỏi: "Đoạn mã này có thực sự an toàn không?"

Chúng tôi quyết định tự kiểm tra. Chúng tôi đã phân tích 28 dịch vụ thực tế của các startup trong nước theo tiêu chuẩn OWASP Top 10, và kết quả cho ra lại khác với dự đoán.

  • Phát hiện lỗ hổng bảo mật trong 45% mã do AI tạo ra
  • Điểm bảo mật trung bình của 28 dịch vụ: 19,4/100
  • Các lỗ hổng phổ biến nhất: hardcode API key, không thiết lập thời gian hết hạn JWT, cho phép toàn bộ CORS

Chúng tôi đã tạo ra Naeildo vì muốn giải quyết vấn đề này.

Quảng cáo

Hoạt động như thế nào

Khi nhập URL, 9 AI agent sẽ được chia thành 3 đội để phân tích.

  • Đội Guard (3 người): phân tích mã tĩnh, kiểm toán dependency, kiểm tra bảo mật hạ tầng
  • Đội Analyst (3 người): kiểm thử bảo mật động, xác minh xác thực/kiểm soát truy cập, phân tích mẫu mã AI
  • Đội Verifier (3 người): kiểm tra tuân thủ tiêu chuẩn OWASP, xác minh compliance, đối chiếu chéo toàn bộ kết quả

Sau khi mỗi agent phân tích độc lập, hệ thống sẽ đối chiếu chéo qua quy trình hai tuyến (thu thập tín hiệu bên ngoài từ URL + tích hợp máy chủ MCP). Đây là cấu trúc để agent khác phát hiện những điểm mà một agent bỏ sót.

Bạn không cần gửi trực tiếp mã nguồn. Hệ thống thu thập và phân tích các tín hiệu có thể quan sát được từ URL như header, TLS, CORS, DNS, metadata nội dung.

Kết quả phân tích

  • Danh sách lỗ hổng + phân loại mức độ nghiêm trọng
  • Hướng dẫn cải thiện theo từng bước: chỉ cần làm lần lượt từ bước 1 đến hết (kèm ví dụ mã sửa)
  • Báo cáo PDF: dạng tài liệu có thể chia sẻ sau khi tổng hợp kết quả kiểm tra bảo mật
  • Định dạng Markdown: để lập trình viên có thể triển khai ngay
Quảng cáo

Lý do chúng tôi tạo ra nó

Theo khảo sát của KISIA, 67,4% doanh nghiệp trong nước không tự vận hành tổ chức bảo mật, và số nhân sự chuyên trách bảo mật trung bình mỗi doanh nghiệp chỉ là 0,8 người. Ngay cả khi muốn kiểm tra bảo mật, cũng rất khó bắt đầu nếu không có nhân sự chuyên môn hoặc thuê ngoài.

Tốc độ tạo dịch vụ bằng công cụ lập trình AI đã nhanh hơn, nhưng chúng tôi cảm thấy vẫn thiếu những phương tiện dễ tiếp cận để xác minh đoạn mã đó. Mọi thứ bắt đầu từ suy nghĩ rằng sẽ thật tốt nếu có thể chạy phân tích ngay chỉ với một URL.

Tech stack

  • Ứng dụng web dựa trên Next.js
  • Kiến trúc Multi-AI Agent (3 đội Guard / Analyst / Verifier, tổng 9 agent)
  • Pipeline đối chiếu chéo đa mô hình dựa trên URL

Nếu bạn có phản hồi hoặc câu hỏi nào, hãy để lại bình luận. Các câu hỏi kỹ thuật cũng rất được hoan nghênh. Chúng tôi sẽ tích cực trả lời.

https://naeildo.com

Bài viết liên quan

5 bình luận

 
aliveornot 2 ngày trước

Nghe nói Mythos cũng có rất nhiều false positive, nên tôi cũng hơi thắc mắc là có người thực sự rà soát lại hay không..

Nếu chưa chứng minh được một cách khách quan là vượt trội hơn các công cụ hiện có, thì việc kiểm chứng bên ngoài vốn dĩ người trong nội bộ cũng có thể làm được; vậy mà lại nói như thể chuyện được kiểm chứng từ bên ngoài là một ưu điểm thì cũng hơi kỳ. Còn câu "không chỉ đơn thuần là đọc mã" nữa... hay là vì không thể xem mã nên rốt cuộc chỉ có thể kiểm tra đơn thuần từ bên ngoài thôi chăng...
 
aliveornot 2 ngày trước

Ngay cả mức độ của các vấn đề bảo mật mà bạn lấy ví dụ là “do Naeildo tìm ra” cũng khiến tôi hơi ngỡ ngàng. Nếu đối tượng là những người thậm chí còn không biết cả những điều như vậy thì còn có thể hiểu được, nhưng cũng có vấn đề là liệu ngay từ đầu những người đó có thực sự quan tâm đến bảo mật hay không.
 
computerphilosopher 2 ngày trước

Phát hiện lỗ hổng bảo mật trong 45% mã do AI tạo ra

Làm sao có thể biết được đoạn mã đó là do AI tạo ra?
 
runableapp 3 ngày trước

Nếu tự mình dùng AI để tạo ra thứ gì đó thì hẳn cũng có thể dùng AI để tìm và sửa các vấn đề bảo mật, vậy dịch vụ này có ưu điểm gì so với cách đó?
 
gridatech 2 ngày trước

Việc hỏi AI đa dụng về mã nguồn chỉ là kiểm tra ở cấp độ source code. Tuy nhiên, phần lớn lỗ hổng thực tế lại phát sinh không phải từ mã mà từ runtime, cấu hình, hạ tầng, xử lý xác thực/phiên và môi trường triển khai. Dịch vụ của chúng tôi được thiết kế ngay từ đầu như một hệ thống đa AI agent chuyên biệt cho bảo mật để xử lý chính xác những khu vực này. Không chỉ đơn thuần đọc mã, chúng tôi còn trực tiếp kiểm tra dịch vụ đã được triển khai từ bên ngoài, nhờ đó có thể phát hiện cả những vấn đề mà chỉ xem mã nguồn sẽ không lộ ra.