Alle Artikelen
Technologie5 min lezen

Stop verborgen logische fouten in uw software over het hoofd te zien

Greg (Zvi) Uretzky

Founder & Full-Stack Developer

Delen
Paper figure 3

Stop met het missen van verborgen logische fouten in uw software

Uw aangepaste ondernemingssoftware werkt. Het doorstaat geautomatiseerde beveiligingstests. Maar een verborgen logische fout kan u nog steeds miljoenen kosten.

Denk aan een loyaliteitsprogramma dat gebruikers in staat stelt om oneindig veel punten te claimen. Of een voorraadsysteem dat negatieve voorraad toelaat. Of een betalingsworkflow die de goedkeuring van een manager overslaat.

Dit zijn geen typische programmeerfouten. Het zijn schendingen van uw specifieke bedrijfsregels. Traditionele beveiligingsscanners missen ze. Zelfs geavanceerde AI-codebeoordelaars zien ze vaak over het hoofd omdat ze de unieke doelstelling van uw toepassing niet begrijpen.

U bent kwetsbaar voor fraude, gegevenslekken en operationele fouten die uniek zijn voor uw bedrijf.

Wat onderzoekers ontdekt hebben

Een team van onderzoekers heeft een AI-systeem gebouwd genaamd Antaeus dat dit exacte probleem aanpakt. Het zoekt naar repository-niveau logische kwetsbaarheden door de volledige context van een softwareproject te begrijpen.

Huidige AI-modellen hebben moeite omdat ze de specifieke, ongeschreven regels van elke toepassing moeten begrijpen. Het is alsof je iemand vraagt om een juridisch contract in een vreemde taal te controleren. Ze kunnen spelfouten opvangen, maar missen dat een clausule in strijd is met het doel van de hele overeenkomst.

Antaeus verandert het spel. Het gebruikt de volledige code-repository als context. In plaats van individuele regels code in isolatie te controleren, redeneert het over alle bestanden. Het stelt het beoogde gedrag van het hele systeem samen om te zien waar de code dat ontwerp schendt.

Denk eraan alsof je een hele puzzel in elkaar zet om te zien of het eindbeeld zin heeft, in plaats van alleen te controleren of elk stuk de juiste vorm heeft.

Het artikel, Antaeus: Hunting Repository-Level Logic Vulnerabilities via Context-Grounded LLM Reasoning, demonstreert dat deze aanpak met succes logische fouten vindt die andere methoden missen. Vroegtijdige adoptie van deze denkwijze kan u een aanzienlijk beveiligingsvoordeel geven.

Paper figure 3

Figuur 3 uit het artikel illustreert de architectuur van het systeem, waarin wordt getoond hoe het zijn redenering baseert op de volledige repository-context.

Hoe u dit vandaag kunt toepassen

U hoeft Antaeus niet zelf te bouwen om van zijn kerninzicht te profiteren. De verschuiving gaat over het verplaatsen van regel-voor-regel-analyse naar whole-system-redenering.

Hier zijn vijf concrete stappen die u deze week kunt implementeren.

1. Kaart uw kritieke bedrijfsregels voordat u scant. Voordat u een geautomatiseerde controle uitvoert, schrijft u de 5-10 meest kritieke bedrijfsregels op die uw code moet afdwingen. Bijvoorbeeld:

  • "Gebruikersloyaliteitspunten kunnen nooit negatief zijn."
  • "Een betaling van meer dan $10.000 vereist dubbele goedkeuring."
  • "Voorraadhoeveelheid kan niet onder nul komen."

Deze eenvoudige lijst wordt uw test-orakel. Het dwingt u om na te denken over logica, niet alleen over syntaxis. Deel deze lijst met uw ontwikkel- en QA-teams.

2. Versterk uw codebeoordelingen met "bedrijfslogica"-sessies. Wijd 30 minuten van uw reguliere codebeoordelingsvergaderingen aan logische fouten. Kijk niet naar de code. Loop in plaats daarvan door gebruikersverhalen of API-aanroepen en vraag: "Als een kwaadwillige gebruiker X doet, kunnen ze regel Y schenden?"

Bijvoorbeeld: "Als een gebruiker de /addLoyaltyPoints-eindpunt aanroept met een negatief getal, wat gebeurt er dan?" Volg de gegevensstroom van de API via de servicelaag naar de database. U zult gaten vinden die geautomatiseerde tools niet zullen vinden.

3. Implementeer context-gevoelige code-scanning. Upgradet uw statische toepassingsbeveiligingstest (SAST). Ga verder dan tools die alleen controleren op veelvoorkomende kwetsbaarheden (OWASP Top 10).

Integreer een tool die gegevensstroom over meerdere bestanden kan analyseren. Semgrep Pro met zijn interfile-analyse of Checkmarx met zijn software-exposure-platform zijn goede startpunten. Configureer ze om gevoelige gegevens (zoals betalingsbedragen, goedkeuringsvlaggen) van entry-points naar finale acties te traceren.

4. Maak "logica-test"-gevallen in uw QA-suite. Uw QA-automatisering moet testen omvatten die zijn ontworpen om bedrijfslogica te breken, niet alleen functionaliteit te controleren. Voor elke kritieke bedrijfsregel schrijft u een test die probeert die regel te schenden.

Bijvoorbeeld:
```python

Test dat voorraad niet negatief kan zijn

def test_voorraad_negatief_stroom():
# Start met 5 items
systeem.set_voorraad(item_id=123, hoeveelheid=5)
# Probeer 10 items te verkopen
reactie = systeem.verwerk_verkoop(item_id=123, hoeveelheid_verkocht=10)
# De verkoop moet MISLUKKEN, niet negatieve voorraad creëren
assert reactie.status == "MISLUKKEN"
assert systeem.get_voorraad(item_id=123) == 5 # Voorraad ongewijzigd
```

5. Pilot een context-gegronde LLM voor beveiliging. Als u AI-engineeringsbronnen heeft, experimenteert u met de Antaeus-aanpak. Gebruik een large language model (LLM)-API zoals OpenAI GPT-4 of Anthropic Claude met een geavanceerde promptstrategie.

Voer meerdere bestanden uit uw repository in en stel specifieke, logica-gerichte vragen. Promptvoorbeeld:

"Hier zijn drie bestanden uit ons betalingssysteem: de betalingscontroller, de goedkeuringsdienst en het transactiemodel. Op basis van de code in alle drie de bestanden, is het mogelijk voor een gebruiker om een betaling van meer dan $10.000 te initiëren zonder de verplichte goedkeuringsworkflow te activeren? Leg uw redenering stap voor stap uit."

Deze handmatige procedure is een krachtige aanvulling op geautomatiseerde tools.

Waar u op moet letten

Deze aanpak is krachtig, maar het is geen magisch kogel. Houd deze beperkingen in gedachten.

Het vangt niet alles. Het onderzoeksartikel beweert niet dat Antaeus alle logische fouten vindt. Sommige kwetsbaarheden vereisen diepgaande bedrijfsdomeinkennis die niet in de codebase zelf is vastgelegd. U hebt nog steeds menselijke expertise nodig.

Kwaliteit in, kwaliteit uit. De effectiviteit van het systeem hangt sterk af van de kwaliteit en duidelijkheid van uw codebase. Schamele commentaren, overmatig complexe functies en gefragmenteerde logica zullen de nauwkeurigheid verminderen.

LLM's zijn niet perfect. Deze modellen kunnen hallucineren of context verkeerd interpreteren. Alle bevindingen die ze genereren, moeten door een menselijke ingenieur worden gevalideerd. Behandel ze als een hooggekwalificeerde assistent, niet als een autonome auditor.

Uw volgende stap

Begin met het opstellen van uw top vijf bedrijfslogische regels. Doe het vandaag. Vervolgens, in uw volgende codebeoordelingsvergadering, stelt u één logica-gerichte vraag op basis van die lijst.

Deze eenvoudige, 15-minuten-oefening zal gaten in uw huidige proces blootleggen. Het verplaatst de mindset van uw team van "werkt de code?" naar "dwingt de code onze bedrijfsregels correct af?"

Wat is één bedrijfsregel in uw software die catastrofaal zou zijn als deze wordt geschonden? Deel het in de comments hieronder.

--- Deze analyse is gebaseerd op het onderzoeksartikel uit 2026 "Antaeus: Hunting Repository-Level Logic Vulnerabilities via Context-Grounded LLM Reasoning" van Michele Armillotta, Nicolò Romandini, Rebecca Montanari en Lorenzo Cavallaro.

business logic vulnerabilitiesAI for code reviewprevent software failuresCTO security strategyenterprise software testing

Reacties

Loading...

Van Onderzoek Naar Resultaat

Bij Klevox Studio helpen we bedrijven om baanbrekend onderzoek om te zetten in praktische oplossingen. Of u nu AI-strategie, automatisering of maatwerksoftware nodig heeft — wij maken complexiteit tot concurrentievoordeel.

Klaar om te beginnen?