Github Trends®
findingsmedian surprise window 30 days
UNIT / TREND-MONITOR · REV 2.6
[ 30 days window ]
SOURCE: gharchive
FINDING #04 · UNIT ID 1270272670
larlarua/AutoCVE
Agent-driven automated CVE discovery platform for source code auditing, vulnerability verification, and report generation.
[ PYTHON ]ЗАРАБОТОК C · 45/100[ GITHUB ↗ ]
SURPRISE SCORE
0.00

Score Breakdown

SURPRISE0.0352
ENGAGEMENT0.86
FRESHNESS1.00
SCORE = SURPRISE × ENGAGEMENT^0.7 × FRESHNESS × VISIBILITY × CONFIDENCE
SURPRISE = WINDOW STARS / DAYS / (AUDIENCE + FLOOR)
2% OF STARS IN ARCHIVE

Growth Telemetry

VELOCITY /D
3.14
ACCEL
-0.79
RETENTION
24.1%
PEAK 2026-06-28 · FORK-RETENTION 0.0% · 22 STARS / WINDOW

Author Audience

AUDIENCE
49
FOLLOWERS
6
OWNER ★
432

Engagement Signals

FORKS
56
ISSUE AUTH
0
PR AUTH
0
UNIQUE STARGAZERS 22 / 22 (DIVERSITY 1.00)

Потенциал заработка

C45/100
СПРОС85
Взрывной рынок AI-security ($30B+, autonomous pentest $2.8B→$9.7B) — спрос максимальный.
ЗАХВАТ35
Ров тонкий: multi-agent над кодом воспроизводим, своей модели нет; поле занято OpenAI/Google/Xbow.
ДОСТУП45
AGPL решаема через dual-license (автор — единоличный владелец), но bus-factor 1 и многое нужно построить.
«Огромный рынок, но ценность трудно удержать против гигантов с собственными моделями.»

Рыночный анализ · Обзор

Робот, который сам роется в чужом исходном коде и находит настоящие дыры в безопасности (уязвимости), а потом оформляет их как заявку на CVE.
Agentic security code audit / автоматизированный поиск уязвимостей (CVE) в исходном кодеЗРЕЛОСТЬ · РАСТЁТ
ЯЗЫК
Python
ЛИЦЕНЗИЯ
AGPL-3.0
РЕЕСТР
docker
РЕЛИЗ
v1.0.4
КОНТРИБЬЮТОРЫ
1
УСТАНОВКА: docker compose (одна команда: curl -fsSL .../docker-compose.prod.yml | docker compose up -d)
Что делает

AutoCVE — self-hosted платформа из нескольких взаимодействующих AI-агентов (Orchestrator дирижирует агентами Recon, Scan, Triage, Finding, Verification). Она автоматизирует весь цикл поиска уязвимостей: выбор проекта → импорт репозитория → аудит агентами → отсев ложных срабатываний → динамическая верификация → готовый отчёт для подачи CVE. Ставится одной docker-командой (FastAPI + React + PostgreSQL), пользователь подключает свою LLM-модель.

Какую боль решает

Ручной поиск уязвимостей в коде — дорогой, медленный и требует редкой экспертизы. AutoCVE переводит труд security-исследователя в непрерывный автоматический процесс, доводя находку до формата, пригодного для официальной регистрации CVE.

Сценарии использования
  • Security-исследователи и bug-bounty-хантеры: массовый поиск CVE в популярных open-source проектах
  • AppSec-команды: аудит собственного исходного кода перед релизом
  • 0-day / CVE research на потоке (в README заявлено 30 CVE в 14 проектах за неделю тестов, max CVSS 9.9)
  • Обучение/демонстрация agentic-подхода к анализу защищённости кода
Целевой пользователь

Специалисты по наступательной безопасности, bug-bounty-хантеры и AppSec-инженеры, готовые развернуть self-hosted инструмент и подключить свою LLM.

Open-source аналоги

usestrix/strixСИЛЬНЕЕ35,808
Крупнее и зрелее (multi-agent AI-пентест с валидацией через PoC), но упор на динамический анализ работающего приложения, а не на аудит исходного кода как у AutoCVE.
aliasrobotics/caiСИЛЬНЕЕ9,362
Более общий и крупный фреймворк кибербез-агентов (bug-bounty-ready), тогда как AutoCVE — готовый узкий пайплайн именно под CVE в исходниках.
vxcontrol/pentagiСИЛЬНЕЕ18,109
Тоже полностью автономная система AI-агентов, но нацелена на пентест живых систем, а не на статический поиск CVE в коде.
protectai/vulnhuntrСЛАБЕЕ2,693
Та же поверхность (поиск уязвимостей в исходниках через LLM), но zero-shot одним проходом без multi-agent-оркестрации и только для Python.
GreyDGL/PentestGPTНИШЕВЫЙ14,081
LLM-ассистент пентестера с human-in-the-loop, а не автономный агентный аудит исходного кода.
projectdiscovery/nucleiСМЕЖНЫЙ29,481
Быстрый шаблонный (YAML) сканер известных уязвимостей без LLM и агентов — сигнатурный подход вместо AI-ресёрча новых CVE.
semgrep/semgrepСМЕЖНЫЙ15,760
Классический паттерн-based SAST без агентов и LLM-цикла — находит по правилам, а не рассуждает как агент.
Позиционирование

AutoCVE (~940★, новичок июня 2026) — догоняющий в плотном поле, где по популярности лидируют strix (36k), nuclei (29k), pentagi (18k), semgrep (16k), PentestGPT (14k) и cai (9k). Его отличие и валидированная ниша — узкоспециализированный автономный multi-agent пайплайн именно под CVE-хантинг в исходном коде опенсорса (плюс заявленный трек-рекорд 30 CVE за неделю), тогда как крупные strix/pentagi тяготеют к динамическому пентесту, vulnhuntr — single-shot без агентов, а nuclei/semgrep вовсе не AI.

Коммерческие аналоги

OpenAI Aardvark (Codex Security)B2BТОЛЬКО ENTERPRISE
Автономный security-исследователь на GPT-5: читает репозитории, рассуждает о поведении кода, находит уязвимости, оценивает эксплуатируемость и предлагает патчи. Прямейший аналог AutoCVE — от вендора модели.
OpenAI. Приватная бета (окт 2025) → research preview «Codex Security» (март 2026), не GA. В бенчмарке нашёл 92% уязвимостей; помог найти ≥10 CVE в OSS.
Бандл в ChatGPT Enterprise/Business/Edu (research preview)отдельная цена не раскрыта
MindFortB2BПОДПИСКА
Полностью автономные multi-agent AI-пентестеры: гоняют пентест по расписанию или на каждый CI/CD-пуш, цепочат уязвимости в валидированные находки с proof-of-exploit и сами шлют PR-фиксы. Архитектурно ближайший к AutoCVE (find→exploit→patch).
YC X25, $3M+ seed (Soma Capital, YC, 468 Capital, CRV). Основатели из ProjectDiscovery/NetSPI и red-teaming для OpenAI/Anthropic. Валюация не раскрыта.
Growthот $1,000/мес
Scaleот $5,000/мес
Enterprisecustom
ZeroPathB2BПОДПИСКА
AI-native AppSec-платформа: LLM-агент понимает намерение кода, находит бизнес-логику и auth-bypass (SAST/SCA/secrets/IaC), верифицирует эксплуатируемость и автоматически патчит.
YC S24, seed под лидом SurgePoint (+ YC, Пол Грэм); консенсус ~$5–7.5M total. RSAC 2026 Innovation Sandbox Top 10; заявляют 300k+ сканов/мес.
Core$200/мес (1–25 repos)
Teamот $1,000/мес + $60/dev
Enterprisecustom
CorgeaB2BFREEMIUM
AI-native SAST c точными авто-фиксами (движок BLAST): трассирует путь от публичных эндпоинтов до эксплуатируемых багов и генерит готовые патчи; ловит broken-auth и бизнес-логику.
YC S23, $2.6M seed (ноя 2024, Shorooq Partners; ангелы Jawed Karim, Sam Kassoumeh); ~$3.18M total. Валюация не раскрыта.
Free$0
Growth$39/dev/мес
Scale$49/dev/мес
Enterprisecustom
XbowB2BПО ПОТРЕБЛЕНИЮ
Платформа автономной наступательной безопасности: тысячи AI-агентов находят, цепочат и эксплуатируют уязвимости «на машинной скорости». Достигла #1 на US-лидерборде HackerOne.
Основатель Oege de Moor (создатель CodeQL/GHAS). Суммарно >$270M (Series C $120M @ $1B+ unicorn, март 2026, + $35M extension: NVIDIA, Samsung, SentinelOne). Бенчмарки company-claimed.
Lightspeed Plus$4,000/тест
Lightspeed Premium$8,000/тест
Enterprisecustom
Автономный LLM-агент поиска 0-day (DeepMind + Project Zero): навигирует по коду, фаззит в песочнице, использует дебаггер. Не продукт — внутренний инструмент Google.
Google, публично недоступен (нет продукта/цены). Нашёл первый в мире AI-обнаруженный 0-day (SQLite, ноя 2024); CVE-2025-6965; +5 уязвимостей (ноя 2025).
Внутренний инструмент Google (не продаётся)n/a
SnykB2BFREEMIUM
Developer-first AppSec-платформа (SCA/SAST/Container/IaC) со сканированием в IDE/CLI/репозитории. AI: движок DeepCode AI + Snyk Agent Fix (agentic autofix ~85% точности).
ARR ~$300M (окт 2024) → ~$326M (фев 2026, Sacra); >4500 клиентов. Valuation $7.4B (дек 2022) устарел; в 2025 отказ от выкупа <$3B — реальная оценка ниже. Суммарно ~$1.2B привлечено.
Free$0
Teamот $25/мес за contributing developer
Enterprisecustom
SemgrepB2BOPEN-CORE
Open-core AppSec-платформа (SAST/SCA/Secrets) поверх бесплатного OSS-ядра. AI: Semgrep Assistant — авто-триаж, фильтрация false positives, Autofix.
Series D $100M (фев 2025, Menlo); суммарно ~$204M. ARR ~$15M за 2024 (оценка). Valuation не раскрыт после Series D.
Community (OSS)$0
Teamот $30/contributor/мес (бесплатно до 10)
Enterprisecustom
AppSec, встроенная в GitHub: CodeQL (семантический SAST) + Copilot Autofix (LLM-патч в PR). С апр 2025 разбита на Code Security и Secret Protection.
Часть GitHub/Microsoft (150M+ разработчиков). Число платящих клиентов не раскрывается.
Публичные репозитории$0
Secret Protection$19/active committer/мес
Code Security$30/active committer/мес
SocketB2BFREEMIUM
AppSec для software supply chain (SCA): анализ open-source зависимостей до попадания в код, LLM-детект вредоносных пакетов (SocketAI).
Series C $60M при оценке $1B (unicorn, май 2026, Thrive); суммарно ~$125M. Клиенты: Anthropic, xAI, Vercel, Figma, Cursor.
Free$0
Team$25/seat/мес
Business$50/seat/мес
Enterprisecustom
Текущая монетизация проекта

Монетизации нет — чистый open-source/hobby. GitHub Sponsors у larlarua отключены (0 спонсорств), профиль пустой (нет bio/сайта, 2 репо, 6 фолловеров). У репозитория не задан homepage, нет GitHub Pages, лицензия AGPL-3.0. В README/README_EN/DISCLAIMER.md/SECURITY.md нет ни pricing, ни платной/cloud/SaaS-версии, ни enterprise/commercial-лицензии, ни donate-ссылок; единственный контакт — «welcome to contact me for discussion» (техническое, не продажи). Деплой полностью self-hosted одной docker-командой.

Коммерческий потенциал

ПОТЕНЦИАЛ · СРЕДНИЙ

Рынок — один из самых горячих в кибербезе (капитал и спрос зашкаливают), а техническая идея валидирована реальными CVE. Но заработать, взяв ИМЕННО эту опенсорс-либу как основу бизнеса, тяжело: код не даёт рва (multi-agent LLM-reasoning над исходниками легко воспроизводим, своей фронтир-модели нет), а поле уже занято игроками с сотнями $M и собственными моделями (OpenAI Aardvark, Google Big Sleep, Xbow). Реалистичные пути — не «продавать AutoCVE», а: (1) managed-хостинг + enterprise-обвязка для нишевого сегмента (on-prem/регулируемые клиенты, которым нельзя отдавать код в чужое облако — тут self-host+AGPL как раз плюс); (2) dual-license по договору с автором; (3) сервисная модель — использовать инструмент для платного аудита/bug-bounty вместо продажи софта.

Спрос и рынок

Высокий. Рынок autonomous AI-pentest ~$2.8B (2025) → ~$9.7B (2034, CAGR ~16%); application security testing $1.8B → $7.6B (2031, CAGR ~26.7%); весь AI-cybersecurity ~$30B+ (2025). Драйвер — взрыв объёма AI-generated кода, требующего столь же автоматической проверки; категорию легитимизировали вход OpenAI и рекорды Xbow, идёт волна M&A (Palo Alto → Protect AI $700M, CrowdStrike → Bionic/Pangea).

Ров / защищённость

Слабый. Ядро (multi-agent + LLM-reasoning над исходниками) воспроизводимо; своей фронтир-модели нет — качество упирается в чужую LLM, которую подключает пользователь. Нет проприетарных данных и дистрибуции. Единственный дифференциатор — узкая заточка под CVE-хантинг в OSS и ранний track record, но и это копируемо.

Модели монетизации
  • Managed SaaS/cloud-хостинг: снять боль self-host-деплоя и подключения моделей; ниша — on-prem/регулируемые клиенты
  • Open-core: платные enterprise-фичи (RBAC/SSO, отчётность, интеграции CI/CD, compliance/SOC2)
  • Dual-license: коммерческая лицензия от автора для проприетарного использования (он единоличный правообладатель — может выдать)
  • Security-as-a-service: применять инструмент для платного аудита кода / bug-bounty, а не продавать сам софт
  • Платная поддержка и консалтинг по внедрению
Что нужно, чтобы сделать продукт
  • Команда: сейчас 1 контрибьютор — bus-factor критичен для продукта
  • Коммерческая лицензия/CLA от larlarua для любой закрытой модели (он владелец кода)
  • Проприетарная надстройка или данные ради рва — иначе техника копируема; своей LLM у проекта нет
  • Хостинг-инфра и решение экономики токенов (агентный аудит дорог по инференсу LLM)
  • Enterprise-фичи: RBAC/SSO, отчётность, интеграции CI/CD, compliance
  • Независимая валидация качества: заявленные 30 CVE / low false-positive rate нужно подтвердить внешним аудитом
⚖ ЛИЦЕНЗИЯ · МОЖНО ЛИ КОММЕРЦИАЛИЗИРОВАТЬ
AGPL-3.0 → коммерциализация возможна, но не «в лоб». Сетевой copyleft обязывает открывать исходники модификаций при работе как SaaS. Легальные пути: (а) коммерческая лицензия от larlarua — он единоличный правообладатель, поэтому dual-license реально оформить; (б) продавать хостинг/поддержку без закрытия кода; (в) держать проприетарную обвязку отдельным сервисом. Нельзя закрыть AGPL-код и продавать как проприетарный SaaS без коммерческой лицензии. Если появятся внешние контрибьюторы без CLA — dual-license заблокируется, поэтому CLA нужен заранее.
Риски и подводные камни
ВЫСОКИЙКОНКУРЕНЦИЯ
Поле занято гигантами с фронтир-моделями и капиталом: OpenAI (Aardvark/Codex Security), Google (Big Sleep), Xbow ($270M+, основатель — создатель CodeQL/Copilot), плюс волна YC-стартапов (MindFort, ZeroPath, Corgea).
ВЫСОКИЙСЛАБЫЙ РОВ
Нет проприетарной модели/данных; ценность в исполнении, а не в коде. Любой может собрать похожий multi-agent пайплайн поверх той же LLM.
ВЫСОКИЙЗАВИСИМОСТЬ ОТ АВТОРА
Bus-factor = 1: весь проект на одном авторе, нет команды и внешнего сообщества (0 external issue authors, fork_retention 0).
СРЕДНИЙАВТОР МОНЕТИЗИРУЕТ САМ
Автор — единоличный правообладатель: может сам скоммерциализировать, сменить или отозвать лицензию; любая форк-стратегия зависит от его решений.
СРЕДНИЙЛИЦЕНЗИЯ
AGPL-3.0 (сетевой copyleft): для закрытого SaaS нужна отдельная коммерческая лицензия; при распространении OSS отпугивает часть корпоративных пользователей.
СРЕДНИЙПРОЧЕЕ
Экономика инференса: агентный аудит жжёт много LLM-токенов — маржинальность SaaS нетривиальна и чувствительна к ценам на модели.
СРЕДНИЙПРОЧЕЕ
Возможно завышенная тяга: archive_coverage 2.8% + сигнал S7 воронки — часть звёзд не видна в публичном event-потоке; органический спрос может быть меньше, чем намекают ~940★.
СРЕДНИЙЮР. СЕРАЯ ЗОНА
Инструмент двойного назначения (offensive security): ответственность за misuse, регуляторные/этические ограничения (в репозитории есть DISCLAIMER.md).

Достоверность разбора

УВЕРЕННОСТЬ · СРЕДНЯЯclaude-opus-4-8 · 2026-07-05 · ОКНО 7D
Оговорки / что не проверено
  • Трек-рекорд AutoCVE (30 CVE, CVSS до 9.9 за неделю) — заявление автора в README, независимо не верифицировано.
  • archive_coverage 2.8% + сигнал S7 воронки: часть звёзд не видна в публичном event-потоке — органический спрос может быть переоценён по числу звёзд.
  • Часть коммерческих цифр (ARR/valuation приватных компаний, бенчмарки Xbow) — оценочные или company-claimed.
  • Рынок шире 10 показанных аналогов: Endor Labs, Aikido Security, RunSybil, Terra Security и др. — полный разбор в research/lib-analysis/autocve-commercial.md.
  • latest_release: GitHub API вернул v1.0.3, README ссылается на v1.0.4 — взят v1.0.4 из README.
ИСТОЧНИКИ (16)

Why This Is A Finding

larlarua/AutoCVE собрал 22 звёзд за окно, тогда как у автора всего 6 подписчиков — эффективная аудитория ≈ 49. Это даёт surprise-индекс 0.0352 (звёзды относительно охвата автора, а не в абсолюте). Удержание форков 0.0% и 0 внешних контрибьюторов отделяют реальный инструмент от разовой вспышки. Акселерация отрицательная — внимание остывает после пика.

Related Findings

RANKS ABOVE 0% OF 1 FINDINGS
NO RELATED FINDINGS

METRICS IN CONTEXT

MEDIAN ACROSS ALL 1 FINDINGS · Δ vs MEDIAN · PERCENTILE = SHARE RANKED BELOW
METRICVALUEMEDIANΔ MEDPERCENTILE
SCORE0.030.030.00ABOVE 0%
VELOCITY3.143.140.00ABOVE 0%
RETENTION24.1%24.1%0.0 PPABOVE 0%
FORKS56560ABOVE 0%
SURPRISE0.040.040.00ABOVE 0%