【Deepaudit-国产 AI 代码审计平台(Github 6k+star)】

📅 2026/7/6 10:14:53
【Deepaudit-国产 AI 代码审计平台(Github 6k+star)】
分享一个国产开源的AI代码审计项目。个人用下来感觉挺不错的。DeepAudit 是GitHub上 lintsinghua 开发的一个开源的AI代码安全审计平台。它定位为“人人拥有的AI黑客战队”旨在让漏洞挖掘更简单、更普及。它的核心亮点在于采用 Multi-Agent多智能体协作架构模拟安全专家的思维模式进行自动化审计。目前该项目在GitHub上已获得超过21k Star并已成功发现49个CVE漏洞和6个GHSA安全公告。️ 核心架构四个AI“专家”协同作战DeepAudit不是简单的规则扫描而是由四个各司其职的AI Agent协作完成审计· Orchestrator总指挥负责制定审计计划、协调各Agent工作并汇总生成最终报告。· Recon Agent侦察兵扫描项目结构识别技术栈和API入口勾勒出潜在“攻击面”。· Analysis Agent分析师结合内置的RAG知识库含CWE/CVE数据和代码语义进行深度漏洞挖掘。· Verification Agent验证师最关键的环节。自动为发现的漏洞生成PoC概念验证脚本并在Docker沙箱中执行验证。验证失败的漏洞会被直接丢弃极大降低了误报率。 主要功能与工作流程用户只需导入项目DeepAudit便会自动完成从分析到出报告的全流程1. 一键部署与私有化支持Ollama等本地模型部署确保核心代码数据安全。2. 两种审计模式· Agent深度审计完整走完上述四Agent协作的流程适合全面安全检测。· 即时分析快速分析代码片段覆盖安全、性能等多维度问题。3. 多源导入与报告支持从GitHub/GitLab导入项目或上传ZIP文件审计完成后可一键导出PDF/Markdown/JSON格式的专业报告。4. 广泛的检查能力支持检测SQL注入、XSS、命令注入等12类漏洞覆盖Python、JavaScript、Java等主流语言并集成了Semgrep、Gitleaks等知名扫描工具。 实战成果DeepAudit已在多个知名开源项目中发现了真实漏洞。例如在对OpenClaw项目的审计中发现了6个已被官方确认的安全漏洞类型包括命令注入、远程代码执行、凭证泄露等。在禅道PMS、Dataease等项目中挖掘出的漏洞也获得了CVE编号。DeepAudit 官方主要推荐使用 Docker 进行部署整个过程可以非常快速也支持源码构建。 前提准备部署前请确保系统满足以下要求· Docker版本 20.10· Docker Compose版本 2.0· 硬件至少 4GB 内存推荐 8GB和 10GB 可用磁盘空间· 网络如需调用云端大模型 API需保证网络畅通使用本地 Ollama 则可离线部署。 部署方式方式一一键生产部署最推荐直接使用预构建镜像无需克隆代码。bashcurl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml | docker compose -f - up -d方式二国内加速部署专为国内用户设置使用南京大学镜像加速。bashcurl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d方式三开发部署源码构建适用于二次开发或定制配置。bashgit clone https://github.com/lintsinghua/DeepAudit.gitcd DeepAuditcp backend/env.example backend/.env# 编辑 backend/.env 填写你的 LLM API 密钥等配置[reference:15]docker compose up -d✅ 验证部署执行 docker ps 命令确认以下 4 个核心服务容器均在运行· frontend前端界面端口 3000· backend后端 API端口 8000· redis缓存与队列· dbPostgreSQL 数据库启动成功后浏览器访问 http://localhost:3000 即可开始配置 LLM 模型。 总结DeepAudit是一个将AI Agent、RAG和沙箱验证技术整合在一起的自动化代码审计平台。它通过模拟安全专家的协作模式旨在提供更智能、更准确的漏洞挖掘体验。项目采用 AGPL-3.0 许可证你可以通过其 GitHub仓库 了解部署详情。