AutoCVE — self-hosted платформа из нескольких взаимодействующих AI-агентов (Orchestrator дирижирует агентами Recon, Scan, Triage, Finding, Verification). Она автоматизирует весь цикл поиска уязвимостей: выбор проекта → импорт репозитория → аудит агентами → отсев ложных срабатываний → динамическая верификация → готовый отчёт для подачи CVE. Ставится одной docker-командой (FastAPI + React + PostgreSQL), пользователь подключает свою LLM-модель.
Какую боль решает
Ручной поиск уязвимостей в коде — дорогой, медленный и требует редкой экспертизы. AutoCVE переводит труд security-исследователя в непрерывный автоматический процесс, доводя находку до формата, пригодного для официальной регистрации CVE.
Сценарии использования
+Security-исследователи и bug-bounty-хантеры: массовый поиск CVE в популярных open-source проектах
+AppSec-команды: аудит собственного исходного кода перед релизом
+0-day / CVE research на потоке (в README заявлено 30 CVE в 14 проектах за неделю тестов, max CVSS 9.9)
+Обучение/демонстрация agentic-подхода к анализу защищённости кода
Целевой пользователь
Специалисты по наступательной безопасности, bug-bounty-хантеры и AppSec-инженеры, готовые развернуть self-hosted инструмент и подключить свою LLM.
Крупнее и зрелее (multi-agent AI-пентест с валидацией через PoC), но упор на динамический анализ работающего приложения, а не на аудит исходного кода как у AutoCVE.
Классический паттерн-based SAST без агентов и LLM-цикла — находит по правилам, а не рассуждает как агент.
Позиционирование
AutoCVE (~940★, новичок июня 2026) — догоняющий в плотном поле, где по популярности лидируют strix (36k), nuclei (29k), pentagi (18k), semgrep (16k), PentestGPT (14k) и cai (9k). Его отличие и валидированная ниша — узкоспециализированный автономный multi-agent пайплайн именно под CVE-хантинг в исходном коде опенсорса (плюс заявленный трек-рекорд 30 CVE за неделю), тогда как крупные strix/pentagi тяготеют к динамическому пентесту, vulnhuntr — single-shot без агентов, а nuclei/semgrep вовсе не AI.
Автономный security-исследователь на GPT-5: читает репозитории, рассуждает о поведении кода, находит уязвимости, оценивает эксплуатируемость и предлагает патчи. Прямейший аналог AutoCVE — от вендора модели.
OpenAI. Приватная бета (окт 2025) → research preview «Codex Security» (март 2026), не GA. В бенчмарке нашёл 92% уязвимостей; помог найти ≥10 CVE в OSS.
Бандл в ChatGPT Enterprise/Business/Edu (research preview)отдельная цена не раскрыта
Полностью автономные multi-agent AI-пентестеры: гоняют пентест по расписанию или на каждый CI/CD-пуш, цепочат уязвимости в валидированные находки с proof-of-exploit и сами шлют PR-фиксы. Архитектурно ближайший к AutoCVE (find→exploit→patch).
YC X25, $3M+ seed (Soma Capital, YC, 468 Capital, CRV). Основатели из ProjectDiscovery/NetSPI и red-teaming для OpenAI/Anthropic. Валюация не раскрыта.
AI-native AppSec-платформа: LLM-агент понимает намерение кода, находит бизнес-логику и auth-bypass (SAST/SCA/secrets/IaC), верифицирует эксплуатируемость и автоматически патчит.
YC S24, seed под лидом SurgePoint (+ YC, Пол Грэм); консенсус ~$5–7.5M total. RSAC 2026 Innovation Sandbox Top 10; заявляют 300k+ сканов/мес.
AI-native SAST c точными авто-фиксами (движок BLAST): трассирует путь от публичных эндпоинтов до эксплуатируемых багов и генерит готовые патчи; ловит broken-auth и бизнес-логику.
YC S23, $2.6M seed (ноя 2024, Shorooq Partners; ангелы Jawed Karim, Sam Kassoumeh); ~$3.18M total. Валюация не раскрыта.
Платформа автономной наступательной безопасности: тысячи AI-агентов находят, цепочат и эксплуатируют уязвимости «на машинной скорости». Достигла #1 на US-лидерборде HackerOne.
Основатель Oege de Moor (создатель CodeQL/GHAS). Суммарно >$270M (Series C $120M @ $1B+ unicorn, март 2026, + $35M extension: NVIDIA, Samsung, SentinelOne). Бенчмарки company-claimed.
Автономный LLM-агент поиска 0-day (DeepMind + Project Zero): навигирует по коду, фаззит в песочнице, использует дебаггер. Не продукт — внутренний инструмент Google.
Google, публично недоступен (нет продукта/цены). Нашёл первый в мире AI-обнаруженный 0-day (SQLite, ноя 2024); CVE-2025-6965; +5 уязвимостей (ноя 2025).
AppSec для software supply chain (SCA): анализ open-source зависимостей до попадания в код, LLM-детект вредоносных пакетов (SocketAI).
Series C $60M при оценке $1B (unicorn, май 2026, Thrive); суммарно ~$125M. Клиенты: Anthropic, xAI, Vercel, Figma, Cursor.
Free$0
Team$25/seat/мес
Business$50/seat/мес
Enterprisecustom
Текущая монетизация проекта
Монетизации нет — чистый open-source/hobby. GitHub Sponsors у larlarua отключены (0 спонсорств), профиль пустой (нет bio/сайта, 2 репо, 6 фолловеров). У репозитория не задан homepage, нет GitHub Pages, лицензия AGPL-3.0. В README/README_EN/DISCLAIMER.md/SECURITY.md нет ни pricing, ни платной/cloud/SaaS-версии, ни enterprise/commercial-лицензии, ни donate-ссылок; единственный контакт — «welcome to contact me for discussion» (техническое, не продажи). Деплой полностью self-hosted одной docker-командой.
Коммерческий потенциал
ПОТЕНЦИАЛ · СРЕДНИЙ
Рынок — один из самых горячих в кибербезе (капитал и спрос зашкаливают), а техническая идея валидирована реальными CVE. Но заработать, взяв ИМЕННО эту опенсорс-либу как основу бизнеса, тяжело: код не даёт рва (multi-agent LLM-reasoning над исходниками легко воспроизводим, своей фронтир-модели нет), а поле уже занято игроками с сотнями $M и собственными моделями (OpenAI Aardvark, Google Big Sleep, Xbow). Реалистичные пути — не «продавать AutoCVE», а: (1) managed-хостинг + enterprise-обвязка для нишевого сегмента (on-prem/регулируемые клиенты, которым нельзя отдавать код в чужое облако — тут self-host+AGPL как раз плюс); (2) dual-license по договору с автором; (3) сервисная модель — использовать инструмент для платного аудита/bug-bounty вместо продажи софта.
Спрос и рынок
Высокий. Рынок autonomous AI-pentest ~$2.8B (2025) → ~$9.7B (2034, CAGR ~16%); application security testing $1.8B → $7.6B (2031, CAGR ~26.7%); весь AI-cybersecurity ~$30B+ (2025). Драйвер — взрыв объёма AI-generated кода, требующего столь же автоматической проверки; категорию легитимизировали вход OpenAI и рекорды Xbow, идёт волна M&A (Palo Alto → Protect AI $700M, CrowdStrike → Bionic/Pangea).
Ров / защищённость
Слабый. Ядро (multi-agent + LLM-reasoning над исходниками) воспроизводимо; своей фронтир-модели нет — качество упирается в чужую LLM, которую подключает пользователь. Нет проприетарных данных и дистрибуции. Единственный дифференциатор — узкая заточка под CVE-хантинг в OSS и ранний track record, но и это копируемо.
AGPL-3.0 → коммерциализация возможна, но не «в лоб». Сетевой copyleft обязывает открывать исходники модификаций при работе как SaaS. Легальные пути: (а) коммерческая лицензия от larlarua — он единоличный правообладатель, поэтому dual-license реально оформить; (б) продавать хостинг/поддержку без закрытия кода; (в) держать проприетарную обвязку отдельным сервисом. Нельзя закрыть AGPL-код и продавать как проприетарный SaaS без коммерческой лицензии. Если появятся внешние контрибьюторы без CLA — dual-license заблокируется, поэтому CLA нужен заранее.
Риски и подводные камни
ВЫСОКИЙКОНКУРЕНЦИЯ
Поле занято гигантами с фронтир-моделями и капиталом: OpenAI (Aardvark/Codex Security), Google (Big Sleep), Xbow ($270M+, основатель — создатель CodeQL/Copilot), плюс волна YC-стартапов (MindFort, ZeroPath, Corgea).
ВЫСОКИЙСЛАБЫЙ РОВ
Нет проприетарной модели/данных; ценность в исполнении, а не в коде. Любой может собрать похожий multi-agent пайплайн поверх той же LLM.
ВЫСОКИЙЗАВИСИМОСТЬ ОТ АВТОРА
Bus-factor = 1: весь проект на одном авторе, нет команды и внешнего сообщества (0 external issue authors, fork_retention 0).
СРЕДНИЙАВТОР МОНЕТИЗИРУЕТ САМ
Автор — единоличный правообладатель: может сам скоммерциализировать, сменить или отозвать лицензию; любая форк-стратегия зависит от его решений.
СРЕДНИЙЛИЦЕНЗИЯ
AGPL-3.0 (сетевой copyleft): для закрытого SaaS нужна отдельная коммерческая лицензия; при распространении OSS отпугивает часть корпоративных пользователей.
СРЕДНИЙПРОЧЕЕ
Экономика инференса: агентный аудит жжёт много LLM-токенов — маржинальность SaaS нетривиальна и чувствительна к ценам на модели.
СРЕДНИЙПРОЧЕЕ
Возможно завышенная тяга: archive_coverage 2.8% + сигнал S7 воронки — часть звёзд не видна в публичном event-потоке; органический спрос может быть меньше, чем намекают ~940★.
СРЕДНИЙЮР. СЕРАЯ ЗОНА
Инструмент двойного назначения (offensive security): ответственность за misuse, регуляторные/этические ограничения (в репозитории есть DISCLAIMER.md).
+Рынок шире 10 показанных аналогов: Endor Labs, Aikido Security, RunSybil, Terra Security и др. — полный разбор в research/lib-analysis/autocve-commercial.md.
+latest_release: GitHub API вернул v1.0.3, README ссылается на v1.0.4 — взят v1.0.4 из README.
larlarua/AutoCVE собрал 22 звёзд за окно, тогда как у автора всего 6 подписчиков — эффективная аудитория ≈ 49. Это даёт surprise-индекс 0.0352 (звёзды относительно охвата автора, а не в абсолюте). Удержание форков 0.0% и 0 внешних контрибьюторов отделяют реальный инструмент от разовой вспышки. Акселерация отрицательная — внимание остывает после пика.
Related Findings
RANKS ABOVE 0% OF 1 FINDINGS
NO RELATED FINDINGS
METRICS IN CONTEXT
MEDIAN ACROSS ALL 1 FINDINGS · Δ vs MEDIAN · PERCENTILE = SHARE RANKED BELOW