MEDUSA: ferramenta SAST com 74 scanners e regras AI

MEDUSA é um scanner SAST open-source com 74 scanners e 180+ regras focadas em riscos de agentes de IA. Suporta 42+ linguagens, relatórios SARIF/JSON e filtro inteligente para reduzir falsos positivos. Publicação cita performance paralela e capacidades de detecção de CVEs, mas faltam auditorias independentes e métricas reproduzíveis.

Foi divulgado um scanner SAST open-source, MEDUSA, que combina 74 scanners especializados com mais de 180 regras orientadas para agentes de IA, prometendo cobertura ampla de linguagens e redução de falsos positivos.

Escopo e capacidades

Desenvolvido como CLI, o MEDUSA afirma suportar 42+ linguagens e tipos de arquivo — incluindo Python, JavaScript, Go, Rust, Java, Dockerfiles, Terraform e manifests Kubernetes — além de gerar relatórios em JSON, HTML, Markdown e SARIF para integração em CI/CD.

Regras para IA e detecção de CVEs

A versão divulgada inclui uma camada de 180+ regras específicas para riscos ligados a modelos de linguagem (OWASP LLM Top 10 2025), cobrindo vetores como prompt injection, poisoning e RAG poisoning. A ferramenta também oferece detecção de CVEs em arquivos de lock e exemplos de duas assinaturas citadas pela publicação (CVE-2025-55182 e CVE-2025-6514) como capacidades demonstradas.

Performance e redução de ruído

Operação paralela para acelerar escaneamentos (relatos de 10–40x sobre abordagens sequenciais, dependendo do workload).
Filtro inteligente de falsos positivos que, segundo os responsáveis, reduz ruído em 40–60% por análise de contexto (detecção de wrappers de segurança, exclusão de arquivos de teste).
Cache inteligente para acelerar rescans e compatibilidade com ambientes restritos (modo sequencial como fallback).

Integração e uso prático

A publicação informa instalação via pip (medusa-security) e comandos para inicialização e integração (medusa init, medusa install --all), com suporte a plataformas de pacotes como winget/Chocolatey/npm. Também há integração com editores e CLIs de LLM (Claude Code, GitHub Copilot, Gemini CLI) por comandos slash para facilitar uso por desenvolvedores.

Limitações e pontos não documentados

A matéria técnica cita resultados de testes na própria base do projeto sem encontrar issues críticas, mas não apresenta auditoria externa independente nem métricas reproduzíveis em amostras representativas de códigos de terceiros. Também faltam detalhes sobre cobertura precisa de regras (falsos positivos por linguagem) e processo de atualização das assinaturas de CVE.

Recomendações

Equipes de segurança e desenvolvimento devem avaliar MEDUSA em ambiente de teste antes de integrar em pipelines de produção e validar findings com ferramentas complementares.
Usar SARIF para correlação com outras ferramentas e evitar dependência exclusiva de uma única solução SAST.

Fontes públicas do anúncio não fornecem ainda um roadmap de governança das regras AI nem garantias de atualização automática frente a novos vetores de supply chain — pontos que merecem validação por equipes de segurança antes do uso em larga escala.