Hadrian открыла OpenHack для AI-поиска уязвимостей в исходном коде

Нидерландская компания Hadrian опубликовала OpenHack — MIT-лицензированный проект для сценарного whitebox-анализа кода с помощью больших языковых моделей. Инструмент не поставляет собственную модель: он организует файловое рабочее пространство и запускается внутри Claude Code, Codex, Cursor или собственного runner.

Нидерландская компания Hadrian, работающая в области offensive security, 20 мая анонсировала OpenHack — открытый проект для AI-assisted vulnerability research. Репозиторий доступен на GitHub под лицензией MIT.

OpenHack не является самостоятельным сканером с собственной моделью. Это набор CLI-команд, агентных манифестов, схем и шаблонов, который организует проверку как файловое рабочее пространство: для каждого прогона сохраняются checkout кода, reconnaissance-артефакты, сценарии, результаты экспертных агентов, кандидаты в finding, решения triage, итоговые отчеты и журналы.

Процесс построен вокруг сценариев, а не широкого запроса к модели. Recon-агенты находят маршруты, sinks, границы авторизации, обработчики загрузок, точки входа парсеров и другие поверхности атаки; router превращает их в проверяемые сценарии; экспертные агенты доказывают или отклоняют каждый сценарий; отдельный triage-агент решает, станет ли кандидат итоговой находкой. Ключевые переходы между фазами должен подтверждать человек.

В текущем реестре OpenHack описаны 12 семейств экспертов, связанных с OWASP Top 10:2025, CWE-119, CWE-200, CWE-22/CWE-434 и API4:2023. Reconnaissance можно дополнительно обогащать правилами Semgrep, но их срабатывания рассматриваются только как подсказки, а не как подтвержденные уязвимости.

Авторы отдельно предупреждают, что проект является экспериментальным прототипом, не проходил независимый аудит, будет пропускать реальные уязвимости и может выдавать ложные результаты. Поэтому OpenHack стоит рассматривать как воспроизводимый workflow для исследовательской проверки кода, а не как замену профессиональному аудиту или статическому анализатору.