Industri keamanan siber sering kali berhadapan dengan alat penganalisis statis tradisional yang hanya menghasilkan daftar panjang potensi masalah. Hal ini memaksa para insinyur untuk memilah sendiri mana yang benar-benar bug dan mana yang hanya noise. Namun, sebuah proyek baru dari perusahaan keamanan ofensif SecureLayer7 mengubah pendekatan ini. Mereka menghadirkan Sandyaa Open Source Autonomous Security Bug Hunter, sebuah alat yang menggunakan model bahasa besar (LLM) untuk membaca codebase, melacak pergerakan data di dalamnya, dan bahkan menghasilkan kode eksploitasi yang berfungsi untuk kerentanan yang telah dikonfirmasi. Alat ini dirilis di bawah lisensi MIT, membuatnya dapat diakses oleh siapa saja.
Cara Sandyaa Beroperasi: Analisis Mendalam Tanpa Interupsi
Sandyaa beroperasi dengan cara yang sangat efisien. Anda cukup memberinya direktori lokal atau URL Git, dan alat ini akan menjalankan audit end-to-end tanpa memerlukan prompt interaktif. Sandyaa membangun konteks di seluruh file, membagi codebase besar menjadi bagian-bagian yang sesuai dengan kepadatan kode dan anggaran token LLM. Alat ini juga menjalankan analisis rekursif yang mengunjungi kembali kode yang sama beberapa kali untuk menyempurnakan temuannya.
Setiap bug yang dikonfirmasi akan ditulis ke folder bernama poc. Di dalam folder itu, Anda akan menemukan laporan analisis, proof-of-concept (PoC) dalam Python, panduan setup, dan file README.md yang menghubungkan setiap klaim ke jalur file dan nomor baris spesifik.
Proses analisis Sandyaa didorong oleh delapan fase rekursif:
- Pelacakan rantai panggilan (call-chain tracing)
- Ekspansi aliran data (data-flow expansion)
- Verifikasi mandiri (self-verification)
- Rantai kerentanan (vulnerability chaining)
- Penyempurnaan proof-of-concept (PoC refinement)
- Deteksi kontradiksi (contradiction detection)
- Validasi asumsi (assumption validation)
- Bukti eksploitabilitas (exploitability proof)
Sandyaa juga memiliki penganalisis kontrol penyerang terpisah. Ini berfungsi untuk menghilangkan temuan yang tidak dapat dijangkau dari input yang tidak tepercaya, sehingga mengurangi noise dari masalah teoretis.
Sandyaa mencari berbagai jenis bug, termasuk:
| Kategori Kerentanan | Contoh Kerentanan yang Dideteksi |
|---|---|
| Keamanan Memori | Use-after-free, buffer overflow, type confusion, double-free |
| Logika Bisnis | Authentication bypass, TOCTOU, state machine errors |
| Injeksi | SQL, command, XSS, SSRF, path traversal |
| Penyalahgunaan Kriptografi | (Tidak ada contoh spesifik dalam referensi) |
| Race Condition | Concurrency races |
| Integer | Integer overflow, signedness issues |
| API Tidak Aman | Deserialization, XXE, prototype pollution |
Membangun Kepercayaan dan Bukti Nyata
SecureLayer7 mulai menggunakan Sandyaa pada target langsung hanya setelah mereka memperketat tumpukan verifikasi. Mereka mencapai titik di mana meninjau output alat ini menjadi lebih produktif daripada membaca kode dari awal. Kamble, CTO SecureLayer7, menjelaskan bahwa timnya terus memperketat pipeline verifikasi. Ini melibatkan verifikasi mandiri, rantai kerentanan, deteksi kontradiksi, dan filter kontrol penyerang yang menghilangkan temuan yang tidak dapat dijangkau dari input yang tidak tepercaya. Ia menambahkan bahwa ambang batas adopsi sangat praktis. Pada titik tertentu, false-positive rate menjadi cukup rendah sehingga meninjau output Sandyaa menjadi penggunaan waktu peneliti yang lebih baik daripada membaca kode tanpa bekal.
Sejauh ini, dua bug yang ditemukan oleh alat ini telah diungkapkan secara publik. Keduanya ditemukan dalam proyek Spring AI, yaitu SQL injection di metadataStore dan JSONPath injection di AbstractRetriever.
Keamanan Eksekusi Eksploitasi dan Fleksibilitas LLM
Kemampuan Sandyaa untuk menjalankan kode proof-of-concept yang dihasilkannya untuk mengonfirmasi eksploitabilitas tentu menimbulkan pertanyaan tentang efek samping pada codebase yang tidak dikenal. Kamble menjelaskan bahwa eksekusi dilindungi secara default. Eksekusi PoC adalah opt-in dan mati secara default. Filter kontrol penyerang berjalan sebelum pembuatan PoC, jadi Sandyaa tidak akan membangun PoC untuk jalur yang tidak dapat dijangkau.
Sandyaa juga tidak memerlukan kunci API. Alat ini menumpang pada sesi Claude Code CLI yang sudah ada milik pengguna. Begitu seorang pengembang masuk ke Claude Code CLI, Sandyaa akan menggunakan kembali otentikasi tersebut dan tidak memerlukan kunci API. Beberapa fase analisis dapat berjalan di Gemini jika gcloud CLI ada di PATH pengguna, lagi-lagi tanpa memerlukan kunci API. Pengaturan GEMINI_API_KEY hanya didukung untuk resolusi tingkatan model saat startup.
Di Balik Layar: Arsitektur Recursive Language Models
Arsitektur Sandyaa mengandalkan apa yang disebut proyek sebagai Recursive Language Models. RecursiveLM ini menggerakkan REPL (Read-Eval-Print Loop) Python yang menjalankan filter regex, memecah file, dan menghasilkan query sub-LLM. Hasilnya kemudian digabungkan dalam kode. Desain ini memungkinkan alat untuk memproses repositori yang lebih besar dari jendela konteks tunggal yang diizinkan.
Platform yang Didukung dan Persyaratan Sistem
Proyek ini aktif diuji pada macOS. Linux seharusnya berfungsi, tetapi belum divalidasi. Windows secara native tidak didukung karena Sandyaa menggunakan perintah khusus Unix dan memunculkan Claude CLI secara langsung. Pengguna Windows dapat menjalankannya melalui WSL2.
Persyaratan untuk menjalankan Sandyaa meliputi Node.js versi 18 atau yang lebih baru, git, dan instalasi Claude Code yang sudah terinstal dan logged-in. Konfigurasi Sandyaa berada di file config.json. Di sana, pengguna dapat mengatur jalur target, ukuran chunk, tingkat keparahan minimum, ambang batas eksploitabilitas, dan opsi output.
Sandyaa tersedia secara gratis di GitHub.
Referensi
https://www.helpnetsecurity.com/2026/05/13/sandyaa-open-source-autonomous-security-bug-hunter/