Denis Makrushin

AI-Powered Static Analysis: How LLMs Find Vulnerabilities in Code and Where Their Limits Lie

by Denis Makrushin June 3, 2026

The AppSec industry has spent decades in a hard conflict between coverage and precision in threat detection. Classic SAST‑tools generate noise that takes more time to sort through manually than actual threat work. The release of Claude Code Security by Anthropic shook the cybersecurity industry: traditional vendor capitalizations dropped, and the CEO of major player Snyk declared the company’s future must be defined by an AI‑-centric leader.

The market has redefined what makes a security tool valuable. Previously, value was measured in supported rules and languages. Today the formula has changed: what matters is the chain — find, explain, help fix. This is where LLMs enter the stage — not as a replacement for classic analyzers, but as an additional interpretation layer. This is how a new category forms: AI SAST.

This article covers how LLMs work with code, why “feeding a repo into a prompt” is a bad idea, which engineering metrics actually matter, and how we research and implement autonomous defect discovery and remediation capabilities for SourceCraft Security products.

June 3, 2026

Blog

Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы

by Denis Makrushin May 26, 2026

Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST‑инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ‑центричный лидер.

Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка “нашёл, объяснил, помог исправить”. Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST.

В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.

May 26, 2026

Blog

Топ техник атак на веб-приложения: как разработчику защититься от нетривиальных уязвимостей

by Denis Makrushin May 14, 2026

Мой любимый ежегодный рейтинг — Top 10 web hacking techniques, который готовит сообщество исследователей по инициативе компании PortSwigger. В рейтинг попадают материалы, в которых делятся инновациями в области поиска и эксплуатации уязвимостей. Сегодня я хочу рассказать об исследованиях, которые показались мне наиболее интересными, потому что показывают не просто отдельные уязвимости, а целые категории проблем и новые методы атак.

May 14, 2026