Synapse Yapay Zekaya Yanlış Pozitifleri İşaretletir, Asla Sildirmez
Synapse, güvenlik taramalarında yanlış pozitifleri iki modelli AI doğrulamasıyla işaretliyor; hiçbir bulguyu silmeden gate güvenilirliğini koruyor.
CI'da merge'leri engelleyen güvenlik kapıları, sürekli yanlış pozitiflerle kızardığında ekipler tarafından kapatılıyor. Synapse'ın yeni AI destekli triyaj katmanı bu soruna bir çözüm sunuyor, ama LLM'in bulguları doğrudan silmesine izin vermeden. Model sadece bir bulgunun 'refuted' (çürütüldü) olduğunu önerebiliyor; bu öneriyi asla kendi başına onaylayamıyor.
Sistem üç katmandan oluşuyor: model tek tip bir doğrulanmış çıktı (verdict/driver/confidence) döndürüyor, ikinci ve farklı bir doğrulayıcı model aynı bulguyu bağımsızca değerlendiriyor ve sadece iki model de %75 eşiğini aşarsa bulgu gate'in çıkış kodundan muaf tutuluyor. Hiçbir bulgu rapordan veya uyumluluk tablosundan silinmiyor; sadece --fail-on kontrolünden geçici olarak çıkarılıyor.
Gerçek bir test senaryosunda AI, sabit bir string ile oluşturulan SQL sorgusunu doğru şekilde yanlış pozitif olarak tespit ederken, gerçek bir SQL injection ve sabit kodlanmış AWS anahtarını 'sound' (geçerli) olarak işaretleyip gate'i kırmızıda tuttu. Bu, güvenlik otomasyonuna güvenilirlik kazandırmak isteyen mühendisler için ilginç bir tasarım deseni: AI'a öneri yetkisi ver, ama son sözü asla verme.