【Deepaudit-国产 AI 代码审计平台(Github 6k+star)】 分享一个国产开源的AI代码审计项目。个人用下来感觉挺不错的。DeepAudit 是GitHub上 lintsinghua 开发的一个开源的AI代码安全审计平台。它定位为“人人拥有的AI黑客战队”旨在让漏洞挖掘更简单、更普及。它的核心亮点在于采用 Multi-Agent多智能体协作架构模拟安全专家的思维模式进行自动化审计。目前该项目在GitHub上已获得超过21k Star并已成功发现49个CVE漏洞和6个GHSA安全公告。️ 核心架构四个AI“专家”协同作战DeepAudit不是简单的规则扫描而是由四个各司其职的AI Agent协作完成审计· Orchestrator总指挥负责制定审计计划、协调各Agent工作并汇总生成最终报告。· Recon Agent侦察兵扫描项目结构识别技术栈和API入口勾勒出潜在“攻击面”。· Analysis Agent分析师结合内置的RAG知识库含CWE/CVE数据和代码语义进行深度漏洞挖掘。· Verification Agent验证师最关键的环节。自动为发现的漏洞生成PoC概念验证脚本并在Docker沙箱中执行验证。验证失败的漏洞会被直接丢弃极大降低了误报率。 主要功能与工作流程用户只需导入项目DeepAudit便会自动完成从分析到出报告的全流程1. 一键部署与私有化支持Ollama等本地模型部署确保核心代码数据安全。2. 两种审计模式· Agent深度审计完整走完上述四Agent协作的流程适合全面安全检测。· 即时分析快速分析代码片段覆盖安全、性能等多维度问题。3. 多源导入与报告支持从GitHub/GitLab导入项目或上传ZIP文件审计完成后可一键导出PDF/Markdown/JSON格式的专业报告。4. 广泛的检查能力支持检测SQL注入、XSS、命令注入等12类漏洞覆盖Python、JavaScript、Java等主流语言并集成了Semgrep、Gitleaks等知名扫描工具。 实战成果DeepAudit已在多个知名开源项目中发现了真实漏洞。例如在对OpenClaw项目的审计中发现了6个已被官方确认的安全漏洞类型包括命令注入、远程代码执行、凭证泄露等。在禅道PMS、Dataease等项目中挖掘出的漏洞也获得了CVE编号。DeepAudit 官方主要推荐使用 Docker 进行部署整个过程可以非常快速也支持源码构建。 前提准备部署前请确保系统满足以下要求· Docker版本 20.10· Docker Compose版本 2.0· 硬件至少 4GB 内存推荐 8GB和 10GB 可用磁盘空间· 网络如需调用云端大模型 API需保证网络畅通使用本地 Ollama 则可离线部署。 部署方式方式一一键生产部署最推荐直接使用预构建镜像无需克隆代码。bashcurl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml | docker compose -f - up -d方式二国内加速部署专为国内用户设置使用南京大学镜像加速。bashcurl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d方式三开发部署源码构建适用于二次开发或定制配置。bashgit clone https://github.com/lintsinghua/DeepAudit.gitcd DeepAuditcp backend/env.example backend/.env# 编辑 backend/.env 填写你的 LLM API 密钥等配置[reference:15]docker compose up -d✅ 验证部署执行 docker ps 命令确认以下 4 个核心服务容器均在运行· frontend前端界面端口 3000· backend后端 API端口 8000· redis缓存与队列· dbPostgreSQL 数据库启动成功后浏览器访问 http://localhost:3000 即可开始配置 LLM 模型。 总结DeepAudit是一个将AI Agent、RAG和沙箱验证技术整合在一起的自动化代码审计平台。它通过模拟安全专家的协作模式旨在提供更智能、更准确的漏洞挖掘体验。项目采用 AGPL-3.0 许可证你可以通过其 GitHub仓库 了解部署详情。

相关新闻

最新新闻

JSP实战:从零构建用户管理模块

JSP实战:从零构建用户管理模块

1. 环境准备与项目搭建在开始构建用户管理模块前,我们需要准备好开发环境。这里推荐使用IntelliJ IDEA作为开发工具,配合Tomcat 9作为Web服务器,MySQL 5.7作为数据库。如果你还没有安装这些软件,可以到官网下载最新版本。首先创建…

2026/7/6 11:45:09
Apache POI 实战指南:从基础读写到企业级报表生成

Apache POI 实战指南:从基础读写到企业级报表生成

1. Apache POI入门:为什么选择这个Java办公文档神器第一次接触Apache POI是在2013年做银行报表系统时,当时需要处理每天上万笔交易记录的Excel导出。试过JXL等工具后,发现POI是唯一能稳定处理复杂格式和大数据量的解决方案。现在每次看到项目…

2026/7/6 11:45:09
【终端配置】从Bash到Zsh:Mac环境变量与Shell工具实战指南

【终端配置】从Bash到Zsh:Mac环境变量与Shell工具实战指南

1. 为什么你需要从Bash切换到Zsh如果你最近买了一台新Mac,可能会发现系统默认的Shell已经从Bash变成了Zsh。这不是苹果随意做的决定,而是因为Zsh在功能和用户体验上都有显著优势。我刚开始用Mac时也习惯用Bash,但切换到Zsh后发现工作效率提升…

2026/7/6 11:45:09
【实战指南】从入门到精通:主流整站下载工具与wget命令深度解析

【实战指南】从入门到精通:主流整站下载工具与wget命令深度解析

1. 整站下载工具的核心价值与应用场景当你需要将一个完整的网站保存到本地时,整站下载工具就成了不可或缺的利器。这类工具能够将网站上的HTML页面、图片、CSS样式表、JavaScript脚本等资源完整地抓取下来,并保持原有的目录结构和链接关系。想象一下&…

2026/7/6 11:45:09
OWASP安全速查表终极指南:从SQL注入到XSS的实战编码规范

OWASP安全速查表终极指南:从SQL注入到XSS的实战编码规范

1. 项目概述:为什么我们需要一份“终极”安全编码指南?在代码的世界里,安全漏洞就像潜伏在暗处的幽灵,一个不经意的疏忽,就可能让整个应用门户大开。我见过太多团队,他们精通各种炫酷的框架,能写…

2026/7/6 11:45:09
AI设计新范式:用HTML替代Figma,构建可交互网页原型

AI设计新范式:用HTML替代Figma,构建可交互网页原型

🚀 30款热门AI模型一站整合,DeepSeek/GLM/Qwen 随心用,限时 5 折。 👉 点击领海量免费额度 如果你在尝试用 AI 生成设计稿或界面时,总觉得效果图“翻车”——布局奇怪、元素错位、风格不搭,那么这篇文章…

2026/7/6 11:40:09

月新闻