代码安全别只靠人工看:用DeepAudit搭一套自己的AI审计平台
前言
代码审计最麻烦的地方,不是知道要查什么,而是项目一大起来,风险点会藏在各种调用链、接口参数和权限逻辑里。SQL注入、XSS、越权访问、敏感信息泄露这些问题,单靠人工逐行排查,既费时间,也容易漏掉细节。
尤其是老项目、多人维护项目或者临时接手的业务代码,开发者往往需要先理解框架结构、接口入口、数据库访问方式和关键业务流程,才能判断哪里可能存在安全隐患。这个过程很考验经验,也很消耗精力。
DeepAudit提供了一种AI辅助代码审计的思路。它不是简单地扫关键词,而是通过多Agent协作完成项目识别、攻击面梳理、代码分析、漏洞验证和报告生成。对于需要快速了解项目安全状况的人来说,它更像是一套可以本地部署的代码审计工作台。
部署完成后,用户可以导入Git仓库或上传源码包,配置LLM和嵌入模型后,对项目进行Agent智能审计或快速扫描。审计结果会给出问题描述、代码位置和修复建议,也支持导出报告,方便后续复盘和团队沟通。
本文将从Docker一键部署DeepAudit开始,完成模型配置、项目创建、Agent审计、报告导出和即时分析演示。最后再通过 cpolar 配置公网访问地址,让本地运行的DeepAudit不再只限于当前电脑,也能在外部网络查看审计任务和结果。
1 DeepAudit是什么?
DeepAudit是国内首个开源的代码漏洞挖掘多智能体系统,它基于 Multi-Agent 协作架构,通过四个智能体的自主协作,实现对代码的深度理解、漏洞挖掘和自动化沙箱 PoC 验证。用户只需导入项目,DeepAudit 便全自动开始工作:识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告,最终输出一份专业审计报告。
- Orchestrator(总指挥):接收审计任务,分析项目类型,制定审计计划,协调其他 Agent 工作
- Recon Agent(侦察兵):扫描项目结构,识别框架、库和 API,提取攻击面
- Analysis Agent(分析师):结合 RAG 知识库与 AST 分析,深度审查代码,发现潜在漏洞
- Verification Agent(验证者):编写 PoC 脚本,在 Docker 沙箱中执行,验证漏洞是否真实可利用
简单来说,DeepAudit 就像是一个 24 小时待命的安全专家团队,帮你把代码审计这件苦差事变得高效、精准、自动化。
2 Docker一键部署DeepAudit
本教程以 Windows 系统为例,演示如何在 Docker 环境中部署 DeepAudit。如果还没有安装Docker的小伙伴,可以去cpolar官网查看**《Docker安装——Linux、Windows、MacOS》**这篇文章进行安装一下哦。
首先,电脑按住Win + R键,打开运行窗口,输入cmd并回车,打开命令提示符。然后在命令提示符中输入以下命令,一键部署 DeepAudit:
curl-fsSLhttps://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml|dockercompose-f- up-d接着输入如下命令,查看 DeepAudit 容器是否启动成功:
dockerps如果看到类似上面的输出,说明 DeepAudit 已经成功启动了!这里包含了 4 个容器:
- admin-frontend-1:前端服务,运行在
3000端口 - admin-backend-1:后端 API 服务,运行在
8000端口 - admin-redis-1:Redis 数据库,用于缓存和队列
- admin-db-1:PostgreSQL 数据库,用于存储审计数据
现在,打开浏览器,访问如下地址:
http://localhost:3000可以看到,DeepAudit 的登录页面已经成功显示出来了!
3 配置DeepAudit
3.1 LLM模型配置
注册一个账号,并且登录DeepAudit,即可进入主界面。
接着来到系统管理,在系统配置项可以看到如下页面:
接着选择LLM提供商,这里以通义千问为例,因为阿里云百炼如果您是新用户,享有每个模型百万Tokens,可以在如下页面查看免费额度剩余量和模型Code等,记得开启免费额度用完即停即可,页面地址:
https://bailian.console.aliyun.com/?tab=model#/model-usage/free-quota?modelType=Text由于我这里的qwen-plus模型额度用完了,演示将使用qwen-max来进行演示,在选择LLM提供商中选择通义千问,然后模型名称填写qwen-max模型:
接着获取阿里云百炼的API Key,点击页面左下角的密钥管理菜单:
进入到密钥管理后,点击创建按钮进行创建即可,创建后即可复制API key密钥:
将复制的密钥填写到API key中,点击测试按钮,出现连接成功即代表配置成功:
连接成功后,点击底部的保存所有更改按钮即可!
3.2 嵌入模型配置
前面已经配置好了LLM模型,接着切换到嵌入模型页面,然后在模型提供商选择Qwen,模型选择预设v4版本的模型即可,填写前面复制下来的API key密钥,点击测试:
接着点击底部的保存配置和保存所有更改按钮即可,这样就配置完成啦!
4 使用DeepAudit进行AI代码审查
配置好 LLM 模型后,我们就可以开始使用 DeepAudit 进行代码审查了。DeepAudit 提供了两种主要的使用方式:项目管理和即时分析。
4.1 创建项目
首先,在左侧导航栏点击"项目管理",进入项目列表页面。如果是第一次使用,页面会提示"未初始化项目",点击"新建项目"按钮。
在弹出的对话框中,你可以选择两种导入方式:
方式一:Git 仓库导入
- 仓库类型:支持 GitHub、GitLab、等
- 仓库地址:填写你的 Git 仓库 URL
- 默认分支:通常为
main或master - 技术栈:选择项目使用的编程语言(JavaScript、TypeScript、Python、Java、Go 等)
方式二:上传源码
- 直接上传 ZIP 压缩包
- 适合本地项目或私有仓库
填写完项目信息后,点击"执行创建",DeepAudit 会自动拉取代码并初始化项目。
这里以上传源码为例,用一个几年前写的一个Java的SpringBoot项目为例,填写完成相关信息,上传源码进行执行创建:
创建完成后,即可在项目管理页面查看,创建好的项目:
4.2 Agent 智能审计
项目创建完成后,点击项目下方的"审计"按钮,进入审计任务页面。这里有两种审计模式:
Agent 智能审计
- LLM 驱动的多 Agent 协同深度审计
- 支持智能漏洞挖掘与验证
- 适合需要深度分析的场景
快速扫描
- 传统规则引擎驱动的快速代码扫描
- 适合大规模批量检测
- 速度更快,但深度略浅
这里以Agent 审计 模式举例,选中要审计的项目,然后选择审计模式,点击下方的启动Agent 审计按钮:
启动后,即可看到项目正在进行索引和嵌入,然后进行编排审计流程:
在侧面的AGENT TREE中可以看到 Multi-Agent 协作流程:
- Orchestrator分析项目,制定审计策略
- Recon Agent扫描项目结构,识别技术栈和攻击面
- Analysis Agent深度分析代码,发现潜在漏洞
- Verification Agent在沙箱中验证漏洞真实性
在审计过程中,你可以实时查看审计进度、已分析的文件数、发现的问题数量等信息。
可以看到,AGENT审计 模式,会进行跨方法联合审计。如上图就是在注册方法中有调用相关校验方法,AGENT审计会根据逻辑关系,去查看校验方法是否存在问题。
4.3 查看审计报告
审计完成后,底部会有输出成功的日志提示,也可以点击右上角EXPORT按钮进行导出报告:
点击EXPORT按钮后,可以将审计报告导出为 Markdown 或 JSON 以及HTML格式,方便分享和存档:
如下为导出为HTML格式的报告预览:
查看一下提到的高危漏洞等相关问题:
可以看到给出了漏洞描述,还有关键的代码位置,以及修复的建议,还是很不错的!
4.4 即时分析
除了项目管理,DeepAudit 还提供了"即时分析"功能,适合快速检查代码片段。
点击左侧导航栏的"即时分析",进入即时分析页面:
- 选择编程语言:从下拉菜单选择代码的语言(JavaScript、Python、Java 等)
- 输入代码:直接粘贴代码或点击"上传文件"按钮
- 选择提示词模板:可以使用默认的"默认代码审计"模板
- 开始分析:点击"开始分析"按钮
几秒钟后,DeepAudit 就会返回分析结果,包括:
- 发现的问题列表
- 每个问题的严重程度
- 详细的修复建议
- 代码片段高亮显示
即时分析非常适合:
- 快速检查可疑代码片段
- 学习安全编码规范
- 代码审查前的预检查
通过以上步骤,你已经掌握了 DeepAudit 的基本使用方法。无论是完整项目的深度审计,还是代码片段的快速检查,DeepAudit 都能帮你高效地发现安全问题,让代码审计变得简单、快速、精准!
5 下载安装cpolar
通过前面的步骤,你已经成功在本地部署了 DeepAudit,并且能够通过http://localhost:3000访问它的界面。但问题来了:你在家里的台式机上部署了 DeepAudit,在公司想访问怎么办?或者你在公司电脑上启动了审计,回家想查看进度怎么办?
本地部署的 DeepAudit 就像一个"孤岛",只有部署它的那台电脑能访问,其他设备想用都进不来。远程办公受限、多设备无法访问……这些问题让 DeepAudit 的价值大打折扣。
这时候,cpolar 内网穿透就派上用场了!它是一款轻量级隧道转发工具,能够将本地运行的服务安全地暴露至公网,实现无需公网 IP、无需复杂路由配置,就能随时随地访问你的 DeepAudit。
接下来,我将带你一步步安装并配置 cpolar,让 DeepAudit 真正实现"随时随地,想审就审"!
5.1 什么是cpolar?
- cpolar 是一款内网穿透工具,可以将你在局域网内运行的服务(如本地 Web 服务器、SSH、远程桌面等)通过一条安全加密的中间隧道映射至公网,让外部设备无需配置路由器即可访问。
- 广泛支持Windows、macOS、Linux、树莓派、群晖 NAS等平台,并提供一键安装脚本方便部署。
5.2 下载cpolar
打开cpolar官网的下载页面,点击立即下载 64-bit按钮,下载cpoalr的安装包:
下来下来是一个压缩包,解压后执行目录种的应用程序,一路默认安装即可,安装完成后,打开cmd窗口输入如下命令确认安装:
cpolar version出现如上版本即代表安装成功!
5.3 注册及登录cpolar web ui管理界面
访问cpolar官网,点击免费注册按钮,进行账号注册
进入到如下的注册页面进行账号注册:
注册完成后,在浏览器中输入如下地址访问 web ui管理界面:
http://127.0.0.1:9200输入刚才注册好的cpolar账号登录即可进入后台页面:
6 穿透DeepAudit实现公网访问
点击左侧菜单栏的隧道管理,展开进入隧道列表页面,页面下默认会有 2 个隧道:
- remoteDesktop隧道,指向3389端口,tcp协议
- website隧道,指向8080端口,http协议(http协议默认会生成2个公网地址,一个是http,另一个https,免去配置ssl证书的繁琐步骤)
点击编辑website的隧道,修改成我们DeepAudit需要的信息:
接着,点击左侧菜单的状态菜单,接着点击在线隧道列表菜单按钮,可以看到有2个deepaudit的隧道,一个为http协议,另一个为https协议:
注意:每个用户创建的隧道显示的公网地址都不一样!
接下来在浏览器中访问deepaudit隧道生成的公网地址(http和https皆可),这里以https为例:
可以看到成功访问到DeepAudit的登录界面啦!
7 固定二级子域名
通过前面的配置,我们已经成功实现了DeepAudit的远程访问,但免费随机域名方案的局限性也逐渐显现:每24小时左右自动更换域名地址,意味着你需要频繁更新书签、重新分享链接,甚至可能因为忘记更新而无法访问。固定域名方案正是为了解决这些痛点而生,能够让你拥有一个永久不变的专属地址。
好啦,接下来开始固定保留二级子域名教程!
首先,进入官网的预留页面:
https://dashboard.cpolar.com/reserved选择预留菜单,即可看到保留二级子域名项,填写其中的地区、名称、描述(可不填)项,然后点击保留按钮,操作步骤图如下:
可以看到列表中显示了一条已保留的二级子域名记录:
- 地区:显示为
China Top。 - 二级域名:显示为
deepaudit。
注:二级域名是唯一的,每个账号都不相同,请以自己设置的二级域名保留的为主
接着,进入侧边菜单栏的隧道管理下的隧道列表,可以看到名为deepaudit的隧道,点击编辑按钮进入编辑页面:
修改域名类型为二级子域名,然后填写前面配置好的子域名,点击更新按钮:
接着,来到状态菜单下的在线隧道列表可以看到隧道名称为deepaudit的公网地址已经变更为二级子域名+固定域名主体及后缀的形式了:
这里以https协议做访问测试:
访问成功,让我们再进行登录测试一下:
成功登录啦,现在无论你在哪里,只要能上网,就能随时访问你的 DeepAudit 了!
总结
完成部署后,DeepAudit就可以作为一套本地AI代码审计平台使用。它可以帮助开发者更快梳理项目结构、识别潜在风险点,并把审计结果整理成相对清晰的报告。
Agent智能审计适合对完整项目做更深入的分析,快速扫描则适合日常批量检查或初步筛查。即时分析功能也很实用,遇到可疑代码片段时,可以直接粘贴进去做一次快速判断,作为人工Review前的辅助参考。
配置 cpolar 后,DeepAudit的Web界面可以从外部网络访问。随机域名适合临时测试,固定二级子域名更适合长期使用,方便在公司、家里或其他设备上继续查看审计进度和导出的报告。
需要注意的是,AI审计工具不能替代人工安全判断。它可以提升发现问题的效率,但最终是否构成漏洞、是否可利用、修复方案是否符合业务逻辑,仍然需要开发者或安全人员结合上下文确认。
DeepAudit负责辅助分析代码风险,Docker负责简化部署流程,cpolar负责打通远程访问入口。当这几部分组合起来以后,代码审计就不再完全依赖熬夜人工翻代码,而可以变成一套更高效、更可复用的安全检查流程。
