Fixing erkannter Schwachstellen mit Factory AI und Snyk Studio

Das Programmiererlebnis, das Factory AI mit Droids bietet, ist wirklich großartig. Es kommt aus einem Guss daher, ist nahtlos und lässt beinahe schon das Gaming Feel eines Videospiels aufkommen. Welches Commitment dahintersteht, zeigt sich nicht nur in der UI, sondern auch in starken Partnerschaften. Dazu gehört mit Linear auch eine wichtige Integration des relativ neuen Konkurrenzprodukts zu Jira. Einen Ruf hat es sich mit seiner UX gemacht, die durch reaktive Web-App-Animationen und Tastaturbefehle bereichert wird. Verglichen mit Claude Code, OpenAI Codex und Gemini CLI, die sich gewissermaßen als die Offline-Word-Dokumente der KI-Coding-Tools präsentieren, ist Factory AI wie Google Drive, das von Anfang an auf Online-Teamwork ausgelegt ist. 

Hilfreich ist auch das klar verständliche Tutorial auf der Factory AI Website, das Entwickler durch alle nötigen Schritte führt. Darunter:

1. Download der Factory CLI 

2. Einbindung der Droid IDE-Erweiterung in VS Code oder wahlweise in eine Fork von Cursor oder WindSurf

3. Anweisung eines Droid (also eines spezialisierten KI-Agent von Factory AI) zur Durchführung seiner ersten Aufgabe – im Browser oder in der IDE

Unter Linux können Sie die Factory CLI über folgenden Befehl installieren:

curl -fsSL https://app.factory.ai/cli | sh

Verfügbar ist dort die Erweiterung für VS Code. Drücken Sie nach der Installation `Strg+Umschalt+P`, um die Command Palette zu öffnen, und wählen Sie Run Factory Droid aus.

Wozu dienen Droids?

Factory AI bietet speziell konzipierte KI-Agents für ein breites Spektrum gängiger Aufgaben der Software-Entwicklung, die als Droids bezeichnet werden. 

• Code Droidfür alles von der Konzeption bis zur Umsetzung Merge-bereiter Code-Änderungen. Neue Features oder Komponenten lassen sich nach klaren Vorgaben generieren. Dies ist möglich, da Code Droid Ihre Codebase nachvollziehen und Funktionen so an den Mustern und Best Practices Ihres Projekts orientieren kann. Komplexe oder ineffiziente Muster kann er in bestehendem Code ebenfalls erkennen und dabei helfen, ihn durch besser aufgeräumte und wartbare Lösungen zu optimieren. Die Funktionalität bleibt dabei erhalten, dafür wird die Performance verbessert. Ergänzt wird dies durch Analysen von Fehlerlogs, Ursachenermittlung und der Entwicklung von Bugfixes für Ihre Codebase. Umsetzbar sind ferner auch umfassende Unit Tests, mit denen Sie Ihren Code verlässlicher machen und Regressions in Ihren Anwendungen vorbeugen können.

• Knowledge Droidfür Dev-Recherche, technische Dokumentation und Onboarding-Guides. Von API-Referenzen und Architekturübersichten bis hin zu Zusammenhängen zwischen Komponenten lassen sich umfassende Dokumentationen generieren, die Ihrem Team Klarheit über Ihre Codebase vermitteln und das Onboarding erleichtern. So können Sie etwa klare Erläuterungen komplexer Systeme, architekturbezogener Entscheidungen und Details zu Implementierungen innerhalb Ihrer Projekte erstellen, die dabei helfen, Interaktionen zwischen verschiedenen Komponenten nachvollziehbar zu machen. Ebenso lassen sich spezifische Informationen aus Ihrer Codebase und Dokumentation effizient auffinden und auslesen. Dies spart Zeit bei der Suche von Details zu Implementierungen oder dabei, bestimmten Features auf den Grund zu gehen.

• Reliability Droidfür Incident-Untersuchungen, Ursachenanalysen und Debugging komplexer Multiservice-Systeme. Im Falle von Incidents in der Produktion lassen sich damit Fehlerlogs, Metrics und Systemverhalten auswerten, um Muster und potenzielle Ursachen für Ausfälle und Performance-Abfälle schneller festzumachen. Die Erstellung umfassender Dokumente zur Ursachenanalyse ist dabei ebenfalls möglich. Mit Details zu Zeitverlauf, Tragweite und Problemursprung sowie zu Präventionsmaßnahmen ist darin auch alles enthalten, was Sie zur Vorlage an Stakeholder benötigen. Hilfe erhalten Sie zudem bei der Entwicklung effektiver Mechanismen zur Fehlerbehandlung wie Sicherungen, Retry Logic und Graceful-Degradation-Muster, durch die Sie die Resilienz Ihrer Systeme stärken und Ausfallkaskaden vorbeugen.

• Product Droidfür Feature-Planung, PRD-Erstellung und Projektverwaltung. Von Feature-Übersichten und User Stories bis hin zu Akzeptanzkriterien, technischen Fragestellungen und Implementierungsphasen neuer Produkt-Features lassen sich damit detaillierte Dokumente zu Produktanforderungen generieren. So helfen etwa umfassende User Stories und präzise beschriebene Akzeptanzkriterien für verschiedene Benutzertypen und -szenarien dabei, Dev-Teams Klarheit über Feature-Anforderungen aus User-Perspektive zu vermitteln. Möglich ist zudem die Analyse von Feature-Anfragen zur Ausgestaltung von Priorisierungs-Frameworks mit Evaluierungen von Auswirkungen vs. Aufwand. Produktteams können so fundierter über die Reihenfolge der Implementierung entscheiden.

Mit einer Bibliothek speziell konzipierter KI-Agents schlägt die Lösung einen zeitgemäßen Weg ein, da es damit möglich wird, mehr aus den begrenzen Kontextfenstern bestehender LLMs herauszuholen. Denn der einzelne Agent, den Tools und Anbieter wie Claude Code, OpenAI Codex oder Gemini CLI zur Verfügung stellen, kann in der Theorie zwar ebenso vielseitig für eine große Bandbreite an Aufgaben eingesetzt werden. Factory AI hat jedoch keine Mühen gescheut, Entwicklern für spezifische Kontexte einen Agent an die Hand zu geben, der dafür als Experte fungiert. Damit allgemeine Use Cases dabei nicht außen vor bleiben, beinhaltet die Bibliothek auch dafür ein Droid. Dieser ist für alles einsetzbar, was nicht von der Auswahl speziell konzipierter Droids abgedeckt wird. 

Erfreulich ist, dass Factory nicht auf einen einzelnen LLM-Anbieter beschränkt ist. Wie der nachfolgende Screenshot zeigt, stehen die bekanntesten Anbieter allesamt zur Verfügung. Bei LLMs, die Varianten etwa für Reasoning bieten, ist im gleichen UI-Fenster auch dieser Aspekt direkt auswählbar.

MCP-Unterstützung

Ganz ähnlich wie bei den CLIs anderer KI-Agents bietet auch die Droid CLI hervorragende Unterstützung für das Model Context Protocol (MCP). Ihren bevorzugten MCP-Server können Sie mühelos hinzufügen.

        █████████    █████████     ████████    ███   █████████
        ███    ███   ███    ███   ███    ███   ███   ███    ███
        ███    ███   ███    ███   ███    ███   ███   ███    ███
        ███    ███   █████████    ███    ███   ███   ███    ███
        ███    ███   ███    ███   ███    ███   ███   ███    ███
        ███    ███   ███    ███   ███    ███   ███   ███    ███
        █████████    ███    ███    ████████    ███   █████████

                                v0.19.9

   You are standing in an open terminal. An AI awaits your commands.

     ENTER to send • \ + ENTER for a new line • @ to mention files

    Current folder: /home/owler/Documents/Snyk/snyk-mcp-demos/pygoat

 Auto (Low) - edits and read-only commands  shift+tab cycles  Sonnet 4
╭─────────────────────────────────────────────────────────────────────╮
│ > Try "Search the documentation for this library"                   │
╰─────────────────────────────────────────────────────────────────────╯
 ? for help                                              IDE ◌ | MCP ✓

●  Usage: mcp add [options] <name> <command>

   Add a new MCP server to the configuration

   Arguments:
     name                      Server name
     command                   Command to start the server

   Options:
     -e, --env <key=value...>  Environment variables (can be used multiple
   times)
     --transport <type>        Transport type (defaults to "stdio") (default:
   "stdio")
     -h, --help                display help for command

 shift+tab to cycle modes                                                Sonnet 4
╭────────────────────────────────────────────────────────────────────────────────╮
│ > /mcp add -h                                                                  │
╰────────────────────────────────────────────────────────────────────────────────╯
 ? for help                                                                 IDE ◌

Dies gilt etwa auch für den offiziellen Snyk MCP-Server. Wenn er bereits auf Ihrem System installiert ist, können Sie ihn anhand des folgenden Befehls in der Droid CLI hinzufügen:

/mcp add SNYK "snyk mcp -t stdio"
●  Starting MCP server "SNYK"...
     Command: snyk
     Args: ["mcp","-t","stdio"]
     Environment variables: none

Nun mag man sich fragen, wofür das gut sein soll. Warum das Toolset eines ohnehin schon funktionsstarken Droid ausweiten? Unterstützung für die Ausführung von Shell-Befehlen ist bereits integriert. Gleiches gilt dafür, Dateien zu lesen, zu schreiben und zu bearbeiten. 

Mit KI-Agents (Droids) zum Auto-Fixing von Schwachstellen

Für dieses Beispiel habe ich das vomOWASP Project Leader adeyosemanputra entwickelte Repository pyGoat geklont. In das Projekt wurde zu Schulungszwecken bewusst eine Reihe gut dokumentierter Schwachstellen eingebaut. Hier sind einige davon zu sehen, nachdem ich die IDE-Erweiterung von Snyk darauf angesetzt habe:

Genauso können wir aber auch den Droid auffordern, diese Schwachstellen unter Einsatz des MCP-Servers aufzuspüren. Zu sehen ist das hier:

>  Please run a code scan on the codebase with Snyk.

⛬  I'll help you run a Snyk code scan on the pygoat codebase. Let me first check the
   authentication status and then perform the scan.

 PLAN   Updated: 3 total (2 pending, 1 in progress, 0 completed)

 ○ Check Snyk authentication status
 ○ Run Snyk code scan on pygoat codebase
 ○ Review and report scan results

 [MCP] SNYK:SNYK_AUTH_STATUS 
 ↳stephen.thoemmes

⛬  Great! You're authenticated as stephen.thoemmes. Now I'll run the Snyk code scan on
    the pygoat codebase to identify security vulnerabilities.

 PLAN   Updated: 3 total (1 pending, 1 in progress, 1 completed)

 ○ Check Snyk authentication status
 ○ Run Snyk code scan on pygoat codebase
 ○ Review and report scan results

 [MCP] SNYK:SNYK_CODE_SCAN  (/home/owler/Documents/Snyk/factory/pygoat)
 ↳
 Testing /home/owler/Documents/Snyk/factory/pygoat ...

  ✗ [Low] Use of Hardcoded Credentials 
    Path: introduction/playground/A9/api.py, line 17 
    Info: Do not hardcode credentials in code. Found hardcoded credential used in a 
 condition.

…

  ✗ [High] SQL Injection 
    Path: introduction/views.py, line 871 
    Info: Unsanitized input from an HTTP parameter flows into 
 introduction.models.sql_lab_table.objects.raw, where it is used in an SQL query. This 
 may result in an SQL Injection vulnerability.

…

 ✔ Test completed

 Organization:      stephen.thoemmes
 Test type:         Static code analysis
 Project path:      /home/owler/Documents/Snyk/factory/pygoat

 Summary:

   101 Code issues found
   15 [High]   44 [Medium]   42 [Low] 

 PLAN   Updated: 3 total (0 pending, 0 in progress, 3 completed)

 ○ Check Snyk authentication status
 ○ Run Snyk code scan on pygoat codebase
 ○ Review and report scan results

⛬  The Snyk code scan has completed successfully! Here's a summary of the security
   findings:

   Scan Results Summary

   Total Issues Found: 101
   •  15 High severity vulnerabilities
   •  44 Medium severity vulnerabilities
   •  42 Low severity vulnerabilities

   Key High-Severity Issues Found:
   1. SQL Injection - Multiple instances in views.py
   2. Code Injection - eval() usage with unsanitized input
   3. Command Injection - subprocess.Popen with unsanitized input
   4. Path Traversal - File operations with unsanitized paths
   5. XML External Entity (XXE) Injection - Insecure XML parsing
   6. Deserialization vulnerabilities - pickle.loads and yaml.load with untrusted data
   7. Hardcoded cryptographic keys - JWT keys hardcoded in source
   8. Hardcoded secrets - Non-cryptographic secrets in code

   Medium/Low Severity Issues:
   •  Hardcoded passwords and credentials
   •  CSRF protection disabled on multiple endpoints
   •  Insecure cookie configurations (missing HttpOnly/Secure flags)
   •  Weak hashing algorithms (MD5)
   •  Debug mode enabled in production
   •  SSRF vulnerabilities

   This is a comprehensive security assessment showing that pygoat (being a
   deliberately vulnerable application for educational purposes) contains numerous
   intentional security flaws across all severity levels, making it an excellent
   training platform for learning about web application security vulnerabilities.

Deutlich wird damit das Potenzial für ein neues Paradigma rund um DevSecOps-Workflows. Anstatt Security separat und allzu oft auch erst zu spät zu adressieren, können wir die Erkennung und Behebung von Schwachstellen nun direkt in den Dev-Prozess integrieren. Der Verbund aus den speziell konzipierten Agents von Factory AI und MCP-Servern wie dem von Snyk macht dabei nicht nur die Erkennung von Sicherheitsproblemen möglich. Mit ihm lässt sich auch direkt ein Fix generieren und auf Korrektheit verifizieren – all dies in ein und derselben Dev-Umgebung.

Nächste Schritte mit Factory AI und Snyk Studio

Perspektivisch könnten mit zunehmender Etablierung des Model Context Protocol und mehr Security-Tools, die in diesem Zuge auf MCP-Server ausgelegt werden, auch Droids für andere Use Cases als die Behebung von Schwachstellen entstehen. Vorstellbar ist etwa, Security-Tests zu generieren, Fixes direkt in Dokumentationen festzuhalten oder auch Tickets zur manuellen Prüfung komplexer Probleme zu erstellen. Da das Droid-System von Factory AI wie auch das MCP-Protokoll modular aufgebaut ist, können diese Features voneinander unabhängig weiterentwickelt werden und dabei weiterhin interoperabel bleiben.

Ähnliche Workflows wie der beschriebene sind auch in Ihrem Team mühelos implementierbar: Einfach die Factory CLI installieren und den bevorzugten MCP-Server hinzufügen, und schon ist alles bereit zum Auto-Fixing von Schwachstellen und dafür, Vertrauen in diesen Prozess zu vermitteln. Der Schlüssel liegt darin, KI-Agents als Katalysator und nicht als Ersatz Ihres Security-Teams zu verstehen. Bei leicht verständlichen Routine-Fixes helfen sie ihm ungemein. Umso mehr kann es sich also auf neuartige Security-Herausforderungen konzentrieren, für die es der menschlichen Kreativität zur Problemlösung bedarf.

Noch mehr Insights zu MCP-Servern und dazu, wie sich das zugrunde liegende Ökosystem absichern lässt, haben wir in diesem E-Book für Sie parat.