Cosine ha presentado cos, una herramienta de línea de comandos que combina dos modos de trabajo orientados a seguridad informática. En modo Security Scan, la herramienta lee el código fuente en busca de vulnerabilidades —como la omisión de verificación de firma en tokens JWT, un open redirect SSRF en el flujo OAuth o el uso de claves RSA compartidas— y genera un informe en Markdown con la ubicación, la severidad, la causa y la dirección de la corrección de cada hallazgo contrastado con el código. En modo Pen Test, un enjambre de agentes lanza exploits contra los sistemas que el cliente haya autorizado por escrito, en un proceso reservado y con acceso mediante reserva.
Cos se instala localmente mediante Homebrew, curl o winget y se ejecuta en la máquina del usuario, sin enviar el código a la nube. La compañía subraya que no es software de código abierto y que su motor es un modelo ajustado por Cosine específicamente para seguridad ofensiva, no un modelo de propósito general envuelto en un prompt. La seguridad, según la empresa, no depende de rehusar peticiones, sino de un arnés escrito en Go que intercepta cada llamada a herramientas antes de ejecutarse: en modo escaneo bloquea de forma determinista las herramientas de escritura y ejecución de comandos, y en modo pentest limita el tráfico de red únicamente a los objetivos autorizados.
El uso de la CLI es gratuito, pero ejecutar análisis requiere una suscripción de 20 dólares mensuales a Cosine, la misma cuenta que da acceso al agente de programación de la compañía. La página incluye un ejemplo de informe con dos vulnerabilidades críticas y una alta reproducibles en un sistema de 2 hosts y 47 endpoints.