Como escanear vulnerabilidades com o framework open source baseado em IA do GitHub Security Lab

O Taskflow Agent, open source do GitHub Security Lab, utiliza um pipeline LLM de múltiplos estágios — modelagem de ameaças, sugestão de problemas e auditoria completa — para detectar desvios de autenticação de alto impacto, IDORs e falhas lógicas com uma baixa taxa de alucinação. Ele já identificou mais de 80 vulnerabilidades em mais de 40 repositórios até o momento. Dos 1.003 problemas sugeridos, apenas 21% atenderam aos critérios para relatórios impactantes, com as falhas de lógica de negócios apresentando a maior taxa de true-positive (25%), e os problemas de IDOR superando os casos combinados de XSS e CSRF.

Entre as descobertas confirmadas notáveis estão uma escalada de privilégios no Outline (CVE-2025-64487), exposição de PII no WooCommerce (CVE-2025-15033) e Spree (CVE-2026-25758), e um desvio de autenticação universal na camada DDP de microsserviços do Rocket.Chat (CVE-2026-28514) causado por um await ausente em uma Promise de bcrypt.