当前位置: 首页 > news >正文

代码安全别只靠人工看:用DeepAudit搭一套自己的AI审计平台

前言

代码审计最麻烦的地方,不是知道要查什么,而是项目一大起来,风险点会藏在各种调用链、接口参数和权限逻辑里。SQL注入、XSS、越权访问、敏感信息泄露这些问题,单靠人工逐行排查,既费时间,也容易漏掉细节。

尤其是老项目、多人维护项目或者临时接手的业务代码,开发者往往需要先理解框架结构、接口入口、数据库访问方式和关键业务流程,才能判断哪里可能存在安全隐患。这个过程很考验经验,也很消耗精力。

DeepAudit提供了一种AI辅助代码审计的思路。它不是简单地扫关键词,而是通过多Agent协作完成项目识别、攻击面梳理、代码分析、漏洞验证和报告生成。对于需要快速了解项目安全状况的人来说,它更像是一套可以本地部署的代码审计工作台。

部署完成后,用户可以导入Git仓库或上传源码包,配置LLM和嵌入模型后,对项目进行Agent智能审计或快速扫描。审计结果会给出问题描述、代码位置和修复建议,也支持导出报告,方便后续复盘和团队沟通。

本文将从Docker一键部署DeepAudit开始,完成模型配置、项目创建、Agent审计、报告导出和即时分析演示。最后再通过 cpolar 配置公网访问地址,让本地运行的DeepAudit不再只限于当前电脑,也能在外部网络查看审计任务和结果。

1 DeepAudit是什么?

DeepAudit是国内首个开源的代码漏洞挖掘多智能体系统,它基于 Multi-Agent 协作架构,通过四个智能体的自主协作,实现对代码的深度理解、漏洞挖掘和自动化沙箱 PoC 验证。用户只需导入项目,DeepAudit 便全自动开始工作:识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告,最终输出一份专业审计报告。

  • Orchestrator(总指挥):接收审计任务,分析项目类型,制定审计计划,协调其他 Agent 工作
  • Recon Agent(侦察兵):扫描项目结构,识别框架、库和 API,提取攻击面
  • Analysis Agent(分析师):结合 RAG 知识库与 AST 分析,深度审查代码,发现潜在漏洞
  • Verification Agent(验证者):编写 PoC 脚本,在 Docker 沙箱中执行,验证漏洞是否真实可利用

简单来说,DeepAudit 就像是一个 24 小时待命的安全专家团队,帮你把代码审计这件苦差事变得高效、精准、自动化。

2 Docker一键部署DeepAudit

本教程以 Windows 系统为例,演示如何在 Docker 环境中部署 DeepAudit。如果还没有安装Docker的小伙伴,可以去cpolar官网查看**《Docker安装——Linux、Windows、MacOS》**这篇文章进行安装一下哦。

首先,电脑按住Win + R键,打开运行窗口,输入cmd并回车,打开命令提示符。然后在命令提示符中输入以下命令,一键部署 DeepAudit:

curl-fsSLhttps://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml|dockercompose-f- up-d

接着输入如下命令,查看 DeepAudit 容器是否启动成功:

dockerps

如果看到类似上面的输出,说明 DeepAudit 已经成功启动了!这里包含了 4 个容器:

  • admin-frontend-1:前端服务,运行在3000端口
  • admin-backend-1:后端 API 服务,运行在8000端口
  • admin-redis-1:Redis 数据库,用于缓存和队列
  • admin-db-1:PostgreSQL 数据库,用于存储审计数据

现在,打开浏览器,访问如下地址:

http://localhost:3000

可以看到,DeepAudit 的登录页面已经成功显示出来了!

3 配置DeepAudit

3.1 LLM模型配置

注册一个账号,并且登录DeepAudit,即可进入主界面。

接着来到系统管理,在系统配置项可以看到如下页面:

接着选择LLM提供商,这里以通义千问为例,因为阿里云百炼如果您是新用户,享有每个模型百万Tokens,可以在如下页面查看免费额度剩余量和模型Code等,记得开启免费额度用完即停即可,页面地址:

https://bailian.console.aliyun.com/?tab=model#/model-usage/free-quota?modelType=Text

由于我这里的qwen-plus模型额度用完了,演示将使用qwen-max来进行演示,在选择LLM提供商中选择通义千问,然后模型名称填写qwen-max模型:

接着获取阿里云百炼的API Key,点击页面左下角的密钥管理菜单:

进入到密钥管理后,点击创建按钮进行创建即可,创建后即可复制API key密钥:

将复制的密钥填写到API key中,点击测试按钮,出现连接成功即代表配置成功:

连接成功后,点击底部的保存所有更改按钮即可!

3.2 嵌入模型配置

前面已经配置好了LLM模型,接着切换到嵌入模型页面,然后在模型提供商选择Qwen,模型选择预设v4版本的模型即可,填写前面复制下来的API key密钥,点击测试:

接着点击底部的保存配置和保存所有更改按钮即可,这样就配置完成啦!

4 使用DeepAudit进行AI代码审查

配置好 LLM 模型后,我们就可以开始使用 DeepAudit 进行代码审查了。DeepAudit 提供了两种主要的使用方式:项目管理即时分析

4.1 创建项目

首先,在左侧导航栏点击"项目管理",进入项目列表页面。如果是第一次使用,页面会提示"未初始化项目",点击"新建项目"按钮。

在弹出的对话框中,你可以选择两种导入方式:

方式一:Git 仓库导入

  • 仓库类型:支持 GitHub、GitLab、等
  • 仓库地址:填写你的 Git 仓库 URL
  • 默认分支:通常为mainmaster
  • 技术栈:选择项目使用的编程语言(JavaScript、TypeScript、Python、Java、Go 等)

方式二:上传源码

  • 直接上传 ZIP 压缩包
  • 适合本地项目或私有仓库

填写完项目信息后,点击"执行创建",DeepAudit 会自动拉取代码并初始化项目。

这里以上传源码为例,用一个几年前写的一个Java的SpringBoot项目为例,填写完成相关信息,上传源码进行执行创建:

创建完成后,即可在项目管理页面查看,创建好的项目:

4.2 Agent 智能审计

项目创建完成后,点击项目下方的"审计"按钮,进入审计任务页面。这里有两种审计模式:

Agent 智能审计

  • LLM 驱动的多 Agent 协同深度审计
  • 支持智能漏洞挖掘与验证
  • 适合需要深度分析的场景

快速扫描

  • 传统规则引擎驱动的快速代码扫描
  • 适合大规模批量检测
  • 速度更快,但深度略浅

这里以Agent 审计 模式举例,选中要审计的项目,然后选择审计模式,点击下方的启动Agent 审计按钮:

启动后,即可看到项目正在进行索引和嵌入,然后进行编排审计流程:

在侧面的AGENT TREE中可以看到 Multi-Agent 协作流程:

  1. Orchestrator分析项目,制定审计策略
  2. Recon Agent扫描项目结构,识别技术栈和攻击面
  3. Analysis Agent深度分析代码,发现潜在漏洞
  4. Verification Agent在沙箱中验证漏洞真实性

在审计过程中,你可以实时查看审计进度、已分析的文件数、发现的问题数量等信息。

可以看到,AGENT审计 模式,会进行跨方法联合审计。如上图就是在注册方法中有调用相关校验方法,AGENT审计会根据逻辑关系,去查看校验方法是否存在问题。

4.3 查看审计报告

审计完成后,底部会有输出成功的日志提示,也可以点击右上角EXPORT按钮进行导出报告:

点击EXPORT按钮后,可以将审计报告导出为 Markdown 或 JSON 以及HTML格式,方便分享和存档:

如下为导出为HTML格式的报告预览:

查看一下提到的高危漏洞等相关问题:

可以看到给出了漏洞描述,还有关键的代码位置,以及修复的建议,还是很不错的!

4.4 即时分析

除了项目管理,DeepAudit 还提供了"即时分析"功能,适合快速检查代码片段。

点击左侧导航栏的"即时分析",进入即时分析页面:

  1. 选择编程语言:从下拉菜单选择代码的语言(JavaScript、Python、Java 等)
  2. 输入代码:直接粘贴代码或点击"上传文件"按钮
  3. 选择提示词模板:可以使用默认的"默认代码审计"模板
  4. 开始分析:点击"开始分析"按钮

几秒钟后,DeepAudit 就会返回分析结果,包括:

  • 发现的问题列表
  • 每个问题的严重程度
  • 详细的修复建议
  • 代码片段高亮显示

即时分析非常适合:

  • 快速检查可疑代码片段
  • 学习安全编码规范
  • 代码审查前的预检查

通过以上步骤,你已经掌握了 DeepAudit 的基本使用方法。无论是完整项目的深度审计,还是代码片段的快速检查,DeepAudit 都能帮你高效地发现安全问题,让代码审计变得简单、快速、精准!

5 下载安装cpolar

通过前面的步骤,你已经成功在本地部署了 DeepAudit,并且能够通过http://localhost:3000访问它的界面。但问题来了:你在家里的台式机上部署了 DeepAudit,在公司想访问怎么办?或者你在公司电脑上启动了审计,回家想查看进度怎么办?

本地部署的 DeepAudit 就像一个"孤岛",只有部署它的那台电脑能访问,其他设备想用都进不来。远程办公受限多设备无法访问……这些问题让 DeepAudit 的价值大打折扣。

这时候,cpolar 内网穿透就派上用场了!它是一款轻量级隧道转发工具,能够将本地运行的服务安全地暴露至公网,实现无需公网 IP、无需复杂路由配置,就能随时随地访问你的 DeepAudit。

接下来,我将带你一步步安装并配置 cpolar,让 DeepAudit 真正实现"随时随地,想审就审"!

5.1 什么是cpolar?

  • cpolar 是一款内网穿透工具,可以将你在局域网内运行的服务(如本地 Web 服务器、SSH、远程桌面等)通过一条安全加密的中间隧道映射至公网,让外部设备无需配置路由器即可访问。
  • 广泛支持Windows、macOS、Linux、树莓派、群晖 NAS等平台,并提供一键安装脚本方便部署。

5.2 下载cpolar

打开cpolar官网的下载页面,点击立即下载 64-bit按钮,下载cpoalr的安装包:

下来下来是一个压缩包,解压后执行目录种的应用程序,一路默认安装即可,安装完成后,打开cmd窗口输入如下命令确认安装:

cpolar version

出现如上版本即代表安装成功!

5.3 注册及登录cpolar web ui管理界面

访问cpolar官网,点击免费注册按钮,进行账号注册

进入到如下的注册页面进行账号注册:

注册完成后,在浏览器中输入如下地址访问 web ui管理界面:

http://127.0.0.1:9200

输入刚才注册好的cpolar账号登录即可进入后台页面:

6 穿透DeepAudit实现公网访问

点击左侧菜单栏的隧道管理,展开进入隧道列表页面,页面下默认会有 2 个隧道:

  • remoteDesktop隧道,指向3389端口,tcp协议
  • website隧道,指向8080端口,http协议(http协议默认会生成2个公网地址,一个是http,另一个https,免去配置ssl证书的繁琐步骤)

点击编辑website的隧道,修改成我们DeepAudit需要的信息:

接着,点击左侧菜单的状态菜单,接着点击在线隧道列表菜单按钮,可以看到有2个deepaudit的隧道,一个为http协议,另一个为https协议:

注意:每个用户创建的隧道显示的公网地址都不一样!

接下来在浏览器中访问deepaudit隧道生成的公网地址(http和https皆可),这里以https为例:

可以看到成功访问到DeepAudit的登录界面啦!

7 固定二级子域名

通过前面的配置,我们已经成功实现了DeepAudit的远程访问,但免费随机域名方案的局限性也逐渐显现:每24小时左右自动更换域名地址,意味着你需要频繁更新书签、重新分享链接,甚至可能因为忘记更新而无法访问。固定域名方案正是为了解决这些痛点而生,能够让你拥有一个永久不变的专属地址

好啦,接下来开始固定保留二级子域名教程!

首先,进入官网的预留页面:

https://dashboard.cpolar.com/reserved

选择预留菜单,即可看到保留二级子域名项,填写其中的地区名称描述(可不填)项,然后点击保留按钮,操作步骤图如下:

可以看到列表中显示了一条已保留的二级子域名记录:

  • 地区:显示为China Top
  • 二级域名:显示为deepaudit

注:二级域名是唯一的,每个账号都不相同,请以自己设置的二级域名保留的为主

接着,进入侧边菜单栏的隧道管理下的隧道列表,可以看到名为deepaudit的隧道,点击编辑按钮进入编辑页面:

修改域名类型为二级子域名,然后填写前面配置好的子域名,点击更新按钮:

接着,来到状态菜单下的在线隧道列表可以看到隧道名称为deepaudit的公网地址已经变更为二级子域名+固定域名主体及后缀的形式了:

这里以https协议做访问测试:

访问成功,让我们再进行登录测试一下:

成功登录啦,现在无论你在哪里,只要能上网,就能随时访问你的 DeepAudit 了!

总结

完成部署后,DeepAudit就可以作为一套本地AI代码审计平台使用。它可以帮助开发者更快梳理项目结构、识别潜在风险点,并把审计结果整理成相对清晰的报告。

Agent智能审计适合对完整项目做更深入的分析,快速扫描则适合日常批量检查或初步筛查。即时分析功能也很实用,遇到可疑代码片段时,可以直接粘贴进去做一次快速判断,作为人工Review前的辅助参考。

配置 cpolar 后,DeepAudit的Web界面可以从外部网络访问。随机域名适合临时测试,固定二级子域名更适合长期使用,方便在公司、家里或其他设备上继续查看审计进度和导出的报告。

需要注意的是,AI审计工具不能替代人工安全判断。它可以提升发现问题的效率,但最终是否构成漏洞、是否可利用、修复方案是否符合业务逻辑,仍然需要开发者或安全人员结合上下文确认。

DeepAudit负责辅助分析代码风险,Docker负责简化部署流程,cpolar负责打通远程访问入口。当这几部分组合起来以后,代码审计就不再完全依赖熬夜人工翻代码,而可以变成一套更高效、更可复用的安全检查流程。

http://www.jsqmd.com/news/1146357/

相关文章:

  • 小学教辅资源合集
  • VisualCppRedist AIO:3分钟彻底解决Windows软件DLL缺失问题
  • RHCA必考的vimtutor命令深度解析:从考试准入到生产自动化
  • 显卡驱动冲突困扰您?Display Driver Uninstaller彻底解决方案
  • 让 Claude / Cursor 直接生成音乐:Ace Data Cloud 的 Suno MCP 接入指南
  • 如何在Linux桌面上使用Sticky便签工具:5个实用技巧提升工作效率
  • Agent Fallback 链条设计:当主模型不可用时,产品不能直接挂掉
  • League Akari:3分钟掌握英雄联盟智能助手,提升游戏效率50%的终极方案
  • ReActAgent 实战指南:从原理到代码构建会思考能行动的 AI
  • 【Autosar从入门到精通到进阶实战篇】13 CANopen紧急报文(EMCY)与错误处理实战:让系统在异常时“优雅地倒下”
  • 一个新的企业级 AI 市场正在形成——为什么下一波机会不是大模型,而是 Enterprise Action
  • AKShare股票数据获取策略:构建稳定高效的金融数据采集架构
  • ComfyUI ControlNet Aux模型下载故障排查:从断流到畅流的完整修复指南
  • 探索AMD Ryzen处理器的硬件秘密:SMUDebugTool深度使用指南
  • VESC Tool完全指南:3步掌握无刷电机控制器配置的终极工具
  • ROFL-Player:英雄联盟回放分析工具完全指南
  • 【船舶】胶囊型无人潜水器的仿真与控制附matlab代码
  • 如何快速恢复丢失的Adobe脚本?Jsxer让JSXBIN反编译变得简单高效
  • ComfyUI ControlNet Aux:50+预处理器全方位解析与实战指南
  • 专业级B站缓存视频格式转换技术解析:m4s-converter架构与应用实践
  • NBM5100A与PIC24FV16KA302的低功耗嵌入式设计优化
  • 终极几何字体指南:Poppins开源多语言字体的完整应用教程
  • 本地淘宝运营培训哪家更值得信赖
  • 不用写代码也能让AI帮你干活?2026年6款零门槛国产AI Agent实操盘点与选购指南
  • AltDrag:用Alt键彻底改变你的Windows窗口操作方式
  • Oracle DBMS_REDEFINITION(在线重定义)
  • VueFire:Vue 项目接入 Firebase 的官方方案
  • 液态神经网络的脆弱与韧性
  • DCDC转换器效率优化实战指南:从器件选型到PCB设计的六个关键点
  • uBlock Origin免费终极指南:5步打造零广告浏览器体验