Desde sua fundação em 2019, o GitHub Security Lab tem perseguido um objetivo primordial: a segurança impulsionada pela comunidade. Acreditamos firmemente que a melhor maneira de aprimorar a segurança de software é através do compartilhamento de conhecimento e ferramentas, utilizando software de código aberto para capacitar a todos na auditoria de código e na identificação de vulnerabilidades. Essa filosofia de colaboração e inovação aberta é um pilar fundamental no universo do desenvolvimento, conforme ressaltado em Vibe Coding com IA: Linus Torvalds, o Futuro Tech e o Impulso Linux!.
Seis anos depois, uma nova e empolgante oportunidade surgiu para elevar a segurança comunitária a outro patamar. Graças à Inteligência Artificial, agora podemos usar linguagem natural para codificar, compartilhar e escalar nosso conhecimento em segurança, tornando ainda mais fácil construir e disseminar novas ferramentas. Essa é uma visão alinhada com o que o futuro da programação nos reserva, como discutido em Vibe Coding: O Futuro da Programação com IA, Segundo o Diretor de IA da Meta.
Nos bastidores, as interfaces do Model Context Protocol (MCP) permitem que desenvolvamos sobre ferramentas de segurança já existentes, como o CodeQL. Como comunidade, podemos eliminar vulnerabilidades de software muito mais rapidamente se compartilharmos nosso conhecimento sobre como encontrá-las. Com esse objetivo em mente, nossa equipe tem experimentado um framework agêntico, o GitHub Security Lab Taskflow Agent.
Utilizado internamente há algum tempo e recentemente compartilhado com os participantes do GitHub Secure Open Source Fund, este framework, embora ainda experimental, está pronto para ser explorado por outros desenvolvedores. Ele representa um avanço significativo na criação de ferramentas impulsionadas por IA, um tópico que também exploramos em 3 Ferramentas: Crie seu Site Com IA.
Detalhes Técnicos: O GitHub Security Lab Taskflow Agent é um framework que utiliza IA para automatizar e otimizar a pesquisa de segurança, permitindo a codificação e o compartilhamento de conhecimento de vulnerabilidades de forma mais eficiente. A abordagem agêntica significa que ele pode orquestrar uma série de tarefas de segurança, tornando o processo de identificação e correção de falhas mais inteligente e escalável.
Demo: Análise de Variações
Começar a usar o seclab-taskflow-agent é um processo simples, que exige apenas alguns passos:
Crie um token de acesso pessoal (PAT).
Adicione segredos de codespace.
Inicie um codespace.
Execute um taskflow com um comando de uma única linha.
Convidamos você a seguir o guia e experimentar!
Nota: Esta demonstração utilizará parte da sua cota de token e é possível que você atinja os limites de taxa, especialmente se estiver usando uma conta gratuita do GitHub. No entanto, o design da demo busca funcionar em contas gratuitas. As cotas serão atualizadas após um dia caso os limites de taxa sejam atingidos.
Crie um token de acesso pessoal (PAT) de granularidade fina
Vá para a página de configurações do desenvolvedor e crie um token de acesso pessoal (PAT).
Role para baixo e adicione a permissão "models":
Adicione segredos de codespace
Por razões de segurança, não é recomendado salvar o PAT que você acabou de criar em um arquivo no disco. Em vez disso, sugerimos salvá-lo como um "segredo de codespace", o que significa que ele estará disponível como uma variável de ambiente quando você iniciar um codespace na próxima etapa.
Vá para suas configurações de codespaces e crie um segredo chamado GH_TOKEN: