Safeliner — LLM-ассистент по информационной безопасности для разработчиков (Т-Банк)

Т-Банк разработал Safeliner — первого в России ИИ-ассистента по информационной безопасности для разработчиков, основанного на LLM. Инструмент интегрируется в GitLab и IDE, анализирует результаты SAST-сканеров (в формате SARIF), выявляет истинные уязвимости, отфильтровывает ложные срабатывания, генерирует готовые патчи и объясняет природу проблем понятным языком. Применяет AST- и DFG-анализ кода. В августе 2024 года Safeliner был внедрён внутри Т-Банка, в мае 2025-го открыт для внешних клиентов.

SAST-инструменты выдают 30–60% ложных срабатываний, что перегружает команды безопасности. Разработчики без глубокой экспертизы в ИБ испытывали сложности с приоритизацией и исправлением уязвимостей, что увеличивало «срок жизни» дефектов в коде.

• Снизить нагрузку на продуктовые команды разработки при работе с уязвимостями

• Ускорить реагирование на угрозы и устранение уязвимостей в коде

• Реализовать подход shift-left: устранять уязвимости на этапе написания кода

• Финансы

• По оценке Т-Банка, использование Safeliner позволяет сэкономить группе «Т-Технологии» более 1 млрд рублей в год за счёт минимизации рисков ИБ и оптимизации кода Время

• Процессы поиска и исправления уязвимостей ускорились до 5 раз (измерение: время с появления уязвимости на дашборде до её устранения)

• Срок жизни уязвимостей в коде сокращается в несколько раз Качество и эффективность

• Отсекает до 80% ложноположительных срабатываний SAST как первая линия триажа

• Каждая пятая уязвимость (20%) устраняется с помощью готового патча Safeliner без дополнительных изменений

• До 30% патчей принимаются без изменений Нагрузка и масштаб

• Внедрён в Т-Банке в августе 2024; несколько внешних финтех-компаний и ИБ-вендоров тестируют продукт

• Поддерживает Java, Go, JavaScript и десятки других языков программирования Надёжность

• Все модели работают в корпоративном контуре — внешние API и сторонние сервисы не используются

• SAST-агностик: совместим с любыми SAST-инструментами через SARIF Импортозамещение и compliance

• Полностью российская inhouse-разработка; поддержка русского языка для разработчиков (70% предпочитают подсказки на русском) Качественный эффект (если цифры не раскрыты): Первый в России коммерческий ИИ-ассистент по безопасной разработке на базе LLM. Реализует принцип shift-left для ИБ непосредственно в IDE и CI/CD-пайплайне.