Artificial IntelligenceCodingGitHubSecurity

GitHub stellt neuen Security Agent für die Schwachstellen-Triage vor

Donnerstag, 29. Januar 2026

GitHub nutzt einen neuen KI-gestützten Security Agent, um Sicherheitswarnungen deutlich effizienter zu analysieren. Der GitHub Security Lab Taskflow Agent unterstützt die automatische Triage von Schwachstellen in GitHub Actions sowie in JavaScript- und TypeScript-Projekten und zielt darauf ab, insbesondere wiederkehrende False Positives schneller auszusortieren.

Strukturierte Taskflows als technisches Fundament

Im Kern setzt der Agent auf sogenannte Taskflows: klar strukturierte, mehrstufige Abläufe, die einzelne Prüfschritte voneinander trennen. Statt eine große Analyse in einem Durchgang durchzuführen, bearbeitet das System Aufgaben sequenziell, etwa das Sammeln relevanter Informationen, die Bewertung möglicher Angriffspfade und die Erstellung eines Berichts. Das reduziert Kontextverluste und erhöht die Nachvollziehbarkeit der Ergebnisse.

LLMs für semantische Code-Analyse

Ein zentrales Novum ist der gezielte Einsatz von Large Language Models für Aufgaben, bei denen klassische statische Analyse an ihre Grenzen stößt. Der Agent erkennt semantische Muster im Code, die für menschliche Auditoren offensichtlich sind, sich aber nur schwer in formale Regeln oder Heuristiken übersetzen lassen. So lassen sich typische Ursachen für False Positives, etwa implizite Berechtigungsprüfungen in Workflows, zuverlässiger identifizieren.

Der Taskflow Agent arbeitet bewusst nicht als vollautomatisches End-to-End-System. Stattdessen erzeugt er strukturierte Triage-Berichte mit konkreten Code-Referenzen, die von Security-Experten überprüft werden können. Bestätigt sich eine Schwachstelle, wird automatisch ein GitHub Issue mit allen relevanten Details erstellt. Rückmeldungen aus Reviews und Dismissal-Gründen fließen in zukünftige Analysen ein und verbessern die Genauigkeit des Systems kontinuierlich.

In der Praxis konnte GitHub mit diesem Ansatz seit August eine große Zahl von Code-Scanning-Warnungen effizient vorsortieren und rund 30 reale Schwachstellen identifizieren, von denen viele bereits behoben wurden. Sowohl der Taskflow Agent als auch die zugehörigen Taskflows sind als Open Source verfügbar und können für eigene Security-Workflows oder Forschungsprojekte angepasst werden.

Mehr erfahren

Teilen auf

  • Facebook
  • X
  • LinkedIn

GitHub

The world’s leading AI-powered developer platform.

GitHub

Getting started with GitHub - GitHub Docs

Dokumentation

Microsoft Learn für GitHub

Microsoft Learn

Verwandte News

Artificial IntelligenceCodingGitHubVisual Studio

Mittwoch, 21. Januar 2026

GitHub Copilot: Neues Memory-System lernt über Agenten hinweg

GitHub Copilot erhält ein neues, agentenübergreifendes Memory-System. Copilot kann dadurch projektbezogenes Wissen dauerhaft speichern, bei Bedarf prüfen und in Coding, Code Review und CLI wiederverwenden.

Zur News
Artificial IntelligenceCodingGitHubVisual Studio

Donnerstag, 04. Dezember 2025

GitHub Copilot: Custom Agents bringen neue Intelligenz in die Softwareentwicklung

Copilot entwickelt sich mit den neuen Custom Agents von einem punktuellen Helfer zu einem System, das wirklich versteht, wie dein Team Software baut.

Zur News