1.簡介

DeepAudit 是一個開源的 AI 代碼審計平臺。你把代碼丟給它，4 個 AI 智能體會自動分工協作——偵察技術棧、分析代碼邏輯、挖掘漏洞、在沙箱裏驗證，最後出一份審計報告。

截至 2026 年 3 月，這個專案在 GitHub 上約 4.9k stars，已經挖出了 49 個真實 CVE 漏洞，涉及 16 個知名開源專案。

專案地址：https://github.com/lintsinghua/DeepAudit

2.它解決了什麼問題？

做過代碼審計的人都知道，傳統 SAST 工具（Semgrep、SonarQube 之類）有幾個硬傷：

· 誤報一堆：跑完掃描，幾百條告警，安全人員要花大量時間手動篩選

· 理解不了業務邏輯：只會做模式匹配，碰到跨檔調用就懵了

· 報了漏洞但驗證不了：告訴你這裏有風險，但到底能不能利用？不知道

DeepAudit 的做法是讓 AI 模擬安全專家的思路：先搞清楚專案用了什麼技術棧，再分析代碼裏有什麼問題，然後寫 PoC 腳本在沙箱裏跑一遍——能打通的才算真漏洞。

3.核心架構

DeepAudit 用的是 Multi-Agent 協作架構，4 個智能體各管一塊：

整個流程全自動：識別技術棧 → 分析風險 → 生成 PoC → 沙箱驗證 → 輸出報告

支持檢測 12 種漏洞類型：SQL 注入、XSS、命令注入、路徑穿越、SSRF、XXE、反序列化、硬編碼密鑰、弱加密、認證繞過、許可權繞過、IDOR。

4.安裝使用

4.1 Docker 一鍵部署

裝好 Docker 和 Docker Compose 後，一行命令搞定：

curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml | docker compose -f - up -durl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml | docker compose -f - up -d

內網路拉鏡像慢的話，用南京大學鏡像站加速：

curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -dl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d

起來後，流覽器打開 http://localhost:3000 就能用了。

Agent 審計入口介面

4.2 配置大模型

審計需要接

大模型。支持的平臺挺多的：

· 國際平臺：OpenAI GPT-4o、Claude 3.5 Sonnet、Google Gemini Pro、DeepSeek V3

· 國內平臺：通義千問、智譜 GLM-4、Moonshot Kimi、文心一言、MiniMax、豆包

· 本地部署：通過 Ollama 跑 Llama3、Qwen2.5、DeepSeek-Coder，代碼不出內網

也支持 API 中轉站，網路環境不好也能正常用。

4.3 開始審計

進入 Agent 審計入口，導入你要審計的代碼，剩下的交給 AI。

報告支持導出 PDF、Markdown、JSON 三種格式。

審計報告示例

5.實戰應用

場景1：開源專案安全審查

看中一個開源專案想用到生產環境，但不確定有沒有安全隱患。把代碼丟進 DeepAudit，自動跑一輪白盒審計。

實際戰績：團隊成員用它挖出了 49 個 CVE，涉及 JimuReport、若依等知名專案。

場景2：內網私有化審計

代碼不能外泄？用 Ollama 部署本地模型，整個審計過程完全在內網跑完。適合對數據安全要求嚴格的企業。

場景 3：安全研究加速

對安全研究人員來說，這是一個效率工具。批量分析開源專案，自動寫 PoC 並在沙箱裏驗證，從發現漏洞到提交 CVE 的週期大幅縮短。

6.總結

DeepAudit 算是目前國內首個開源的代碼漏洞挖掘多智能體系統。

數據：

· 截至 2026 年 3 月，GitHub 約 4.9k stars

· 已挖掘 49 個 CVE，涉及 16 個知名開源專案

· 支持 12 種常見漏洞類型

· 相容 10+ 個大模型平臺，支持 Ollama 內網部署

適合誰用： 安全研究員、開發團隊上線前安全審查、甲方安全部門內部審計。

當前限制： 審計準確率受大模型能力影響，複雜漏洞仍需人工復核。

專案後續計畫支持自動修復（AI 直接提 PR）、增量 PR 審計和自定義 RAG 知識庫。

· 專案地址：https://github.com/lintsinghua/DeepAudit

· Agent 審計指南：https://github.com/lintsinghua/DeepAudit/blob/v3.0.0/docs/AGENT_AUDIT.md

· CVE 列表：https://github.com/lintsinghua/DeepAudit/blob/v3.0.0/CVEList.md

Source: Internet

來源: 網路

Disclaimer: All materials and information on the Website are for general information only and shall not be treated as a substitute for legal or other professional advice and shall not be relied on as such. Such materials and information are provided on an “as is” basis without any express or implied warranty or guarantee of any kind.

免責聲明: 載於本網站的所有材料及資料只供一般參考之用，並不應被視為可取代，或被依賴作為，法律或其他專業意見。該等材料及資料均以「現況」形式提供，並無任何種類的明示或隱含的保證或擔保。