大家好,俺是程序员鱼皮。最近逛 GitHub 的时候,发现了一个挺有潜力的开源项目 ------ DeepAudit,让 AI 帮你挖掘项目漏洞。
势头很猛啊,短短时间就涨了不少 star,看这 star 趋势图:
这是一个 AI 代码审计工具,能自动分析你的代码,找出潜在的安全漏洞和代码问题。
作者很贴心地提供了在线体验版,可以直接使用,当然也支持本地部署。下面鱼皮以作者部署的在线体验版,带大家体验一下这个项目的功能。
首先需要配置自己的大模型 API Key,国内的很多大模型都支持:
如果想直接导入并分析你在 GitHub 上的项目,而不是手动上传代码,那么还需要配置 GitHub Token,让工具能够读取到你的仓库代码。
可以在 GitHub 上生成一个新的 Token:
配置好之后,就可以创建一个要分析的项目了,仓库地址要填写正确。这里鱼皮拿自己 3 年前做的个人开源项目 ------ SQL 代码和数据生成器试试水。
然后新建一个审计任务:
填写要分析的分支,还可以设置一些文件排除规则,比如排除 node_modules、测试文件等。
点击开始分析,AI 就屁颠儿屁颠儿干活了~
我去,竟然发现了 123 个问题?!
不过能写出 123 个问题,我感觉自己也是挺厉害的哈哈哈。
进入任务详情页面,我倒要看看都是什么问题。
先看看最严重的 ------ SQL 注入漏洞。
AI 的解释还挺到位的,确实存在 SQL 注入风险。当时这么写纯属图方便,没想到被 AI 一眼看穿了。
一些小细节也被指出来了,比如硬编码、异常处理不够完善、日志记录不规范等。
不过也有一些误报,AI 把正常的代码逻辑判断成了问题。
总体来说,这个工具还有进步空间,但已经很实用了。正好我们团队需要这样的代码审计工具,还是挺期待作者能进一步完善的。
审计完成后,还可以直接导出报告:
一下子就得到了整整 70 多页的专业报告!
想想我大学的时候做课设作业,要是有 AI 帮忙生成这种报告,不得爽飞边子了?
除了项目审计,作者还提供了即时分析功能。不过这个就没什么新意了,我们团队的 代码小抄在 24 年初就已经上线了这个功能。
我体验这个项目的时候,还有很多功能没做完,不过这也是 MVP 最小可行产品原则嘛,快速验证想法最重要。
值得一提的是,作者更新非常频繁。截止到目前,项目界面已经焕然一新了,更有极客范儿。
在审计流日志页面可以看到 AI 思考分析的过程:
还有智能仪表盘,可以直观地看到代码质量趋势:
最后
这个项目的实现思路其实挺值得学习的。通过调用大模型的 API,让 AI 理解代码逻辑,然后根据常见的安全漏洞模式和最佳实践进行分析,最后生成结构化的审计报告。整个流程和 AI 代码审查是类似的,但更专注于安全漏洞的发现。
对于个人开发者来说,这类工具可以帮你在提交代码前发现潜在问题,拿来检测一下自己之前的老项目代码也是不错的;对于团队来说,可以把 AI 接入到 CI/CD 流程中,自动化代码安全检查。虽然本项目暂时还有误报,但随着 AI 能力的提升,以及作者在领域知识方面的填充,相信会越来越准确。
来试试看,你的项目代码里有多少个 Bug?