GitHub: Automatska sigurnosna validacija koda proširit će se na agente trećih strana
GitHub proširuje automatsku sigurnosnu validaciju koda na agente trećih strana poput Claudea i OpenAI Codexa — iste zaštite koje Copilot cloud agent ima od listopada 2025. Tri provjere (CodeQL, Advisory baza, secret scanning) aktivne su prema zadanim postavkama, bez potrebe za Advanced Security licencom.
Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.
GitHub je 9. lipnja 2026. objavio proširenje automatske sigurnosne validacije koda na sve agente za kodiranje trećih strana koji rade s platformom. Zaštita koja je dosad bila rezervirana isključivo za GitHub Copilot cloud agent od danas vrijedi i za vanjske agente — uključujući Anthropic Claude i OpenAI Codex — koji otvaraju pull requestove u korisničkim repozitorijima.
Kontekst: Copilot cloud agent dobio zaštitu u listopadu 2025.
GitHub je automatsku sigurnosnu validaciju generiranog koda prvi put uveo u listopadu 2025., tada samo za vlastiti Copilot cloud agent. U prvih osam mjeseci primjene, ta je zaštita prema GitHubu proaktivno spriječila stotine potencijalnih sigurnosnih propusta i ranjivosti u repozitorijima korisnika.
Usporedo s tim, ekosustav agenata trećih strana koji se integriraju putem GitHub API-ja snažno je porastao. Razvojni timovi sve češće koriste vanjske agente koji autonomno pišu kod, commitaju promjene i otvaraju pull requestove. Ta je dinamika stvorila jasnu prazninu: Copilot-ov kod bio je skeniran, dok kod vanjskih agenata — koji prolazi kroz iste repozitorije i iste tijekove rada — nije.
Koje sigurnosne provjere agent automatski provodi na generiranom kodu?
Svaki pull request koji generirani kod agenta treće strane prosljeđuje GitHub repozitoriju prolazi kroz tri automatizirana sigurnosna koraka:
CodeQL skeniranje ranjivosti GitHub-ov alat za statičku analizu koda (static analysis) pregleda generirani kod tražeći obrasce koji upućuju na poznate sigurnosne ranjivosti — od SQL injekcija i cross-site scriptinga do nesigurnih operacija s datotekama, ovisno o programskom jeziku. CodeQL razumije semantiku koda, a ne samo uzorke teksta, što mu daje nižu stopu lažnih pozitiva od jednostavnih regex provjera.
Provjera ovisnosti prema Advisory bazi Svaka nova ili izmijenjena ovisnost (dependency) automatski se uspoređuje s GitHub Advisory Database — bazom poznatih ranjivosti u open-source paketima (CVE evidencija). Ako agent uvede paket s aktivnom ranjivošću, provjera to odmah označi i blokira finalizaciju pull requesta dok se problem ne razriješi.
Traženje izloženih tajnih ključeva Skeniranje prolazi kroz generirani kod u potrazi za API ključevima, OAuth tokenima, lozinkama i ostalim osjetljivim podacima (secrets) koji su slučajno ili pogreškom dospjeli u kod. Ova mjera posebno je relevantna za agente koji automatski generiraju konfiguracijske datoteke ili primjere koda — česti izvor nenamjernog curenja podataka.
Reakcija agenta na pronađene probleme
Validacija nije pasivno izvješćivanje — ona je integrirana u agentski tok rada. Kada se otkrije ranjivost, problematična ovisnost ili izložena tajna, agent pokušava automatski riješiti problem prije nego što finalizira pull request. To može uključivati zamjenu ranjivih paketa sigurnijim verzijama, uklanjanje izloženih ključeva ili prilagodbu koda prema CodeQL preporukama.
Tek ako automatsko rješavanje nije moguće, problem se eskalira razvojnom timu koji mora ručno intervenirati. Ovakav pristup znači da znatan dio sigurnosnih korekcija ostaje unutar agentskog toka rada — ranjivosti ne dospijevaju u kod review niti u kasne faze razvoja gdje su skuplje za ispraviti.
Primjena bez posebnih licenci
Proširenje je aktivno prema zadanim postavkama (enabled by default) i slijedi Copilot postavke koje je administrator već konfigurirao za repozitorij. Nema potrebe za ručnim pokretanjem, zasebnom konfiguracijom za svaki agent ili nadogradnjom pretplatničkog plana.
Ključno: funkcionalna zaštita ne zahtijeva GitHub Advanced Security licencu. Dostupna je svim korisnicima bez dodatnih troškova, što je posebno važno za manje timove i open-source projekte koji nemaju pristup naprednim sigurnosnim alatima u sklopu Enterprise plana.
Organizacije koje žele fino podesiti koje su provjere aktivne — ili isključiti pojedinog agenta iz validacije — mogu to učiniti putem postavki opisanih u GitHub dokumentaciji za konfiguraciju agenata (Configuring agent settings).
Proširenjem sigurnosne validacije na sve agente, GitHub gradi konzistentan sigurnosni sloj koji ne ovisi o tome koji AI model ili agent generira kod. Za razvojne timove koji su počeli usvajati vanjske agente u svom CI/CD tijeku rada, ova nadogradnja znači da isti standardi zaštite sada pokrivaju cijeli radni tok — automatski, bez dodatnih troškova ili ručnog postavljanja.
Česta pitanja
- Koje sigurnosne provjere GitHub automatski provodi na kodu koji generiraju agenti trećih strana?
- Tri provjere: CodeQL statička analiza za ranjivosti u kodu, provjera ovisnosti prema GitHub Advisory Database za poznate CVE-ove, i secret scanning koji traži izložene API ključeve i tokene u generiranom kodu.
- Je li potrebna GitHub Advanced Security licenca za aktivaciju ove zaštite?
- Ne — validacija je dostupna svim korisnicima bez dodatnih troškova i aktivna je prema zadanim postavkama, slijedeći postojeće Copilot postavke repozitorija.
- Što se događa kad agent otkrije sigurnosni problem u kodu koji je generirao?
- Agent pokušava automatski riješiti problem prije finaliziranja pull requesta. Tek ako rješavanje nije moguće, problem se eskalira razvojnom timu za ručno razmatranje.
📬 AI vijesti u tvoj inbox
Dnevni digest po tvojoj mjeri — biraš teme, izvore i ritam. Odjava jednim klikom.
Povezane vijesti
arXiv:2607.12200: okvir za mjerenje CBRN 'uplifta' kod frontier modela — potvrđen rizik samo u radiološkoj domeni
LangChain: zašto AI agentima treba vlastito izolirano računalo (sandbox)
GitHub: AI sigurnosne detekcije na pull requestovima i /security-review u Copilot appu