大家好,俺是程序员鱼皮。最近逛 GitHub 的时候,发现了一个挺有潜力的开源项目 —— DeepAudit,让 AI 帮你挖掘项目漏洞。
势头很猛啊,短短时间就涨了不少 star,看这 star 趋势图:
这是一个 AI 代码审计工具,能自动分析你的代码,找出潜在的安全漏洞和代码问题。
作者很贴心地提供了在线体验版,可以直接使用,当然也支持本地部署。下面鱼皮以作者部署的在线体验版,带大家体验一下这个项目的功能。
首先需要配置自己的大模型 API Key,国内的很多大模型都支持:
如果想直接导入并分析你在 GitHub 上的项目,而不是手动上传代码,那么还需要配置 GitHub Token,让工具能够读取到你的仓库代码。
可以在 GitHub 上生成一个新的 Token:
配置好之后,就可以创建一个要分析的项目了,仓库地址要填写正确。这里鱼皮拿自己 3 年前做的个人开源项目 —— SQL 代码和数据生成器试试水。
然后新建一个审计任务:
填写要分析的分支,还可以设置一些文件排除规则,比如排除/* by 01022.hk - online tools website : 01022.hk/zh/generatebscwallets.html */ node_modules、测试文件等。
点击开始分析,AI 就屁颠儿屁颠儿干活了~
我去,竟然发现了 123 个问题?!
不过能写出 123 个问题,我感觉自己也是挺厉害的哈哈哈。
进入任务详情页面,我倒要看看都是什么问题。
先看看最严重的 —— SQL 注入漏洞。
AI 的解释还挺到位的,确实存在 SQL 注入风险。当时这么写纯属图方便,没想到被 AI 一眼看穿了。
一些小细节也被指出来了,比如硬编码、异常处理不够完善、日志记录不规范等。
不过也有一些误报,AI 把正常的代码逻辑判断成了问题。
总体来说,这个工具还有进步空间,但已经很实用了。正好我们团队需要这样的代码审计工具,还是挺期待作者能进一步完善的。
审计完成后,还可以直接导出报告:
一下子就得到了整整 70 多页的专业报告!
想想我大学的时候做课设作业,要是有 AI 帮忙生成这种报告,不得爽飞边子了?
除了项目审计,作者还提供了即时分析功能。不过这个就没什么新意了,我们团队的代码小抄在 24 年初就已经上线了这个功能。
我体验这个项目的时候,还有很多功能没做完,不过这也是 MVP 最小可行产品原则嘛,快速验证想法最重要。
值得一提的是,作者更新非常频繁。截止到目前,项目界面已经焕然一新了,更有极客范儿。
在审计流日志页面可以看到 AI 思考分析的过程:
还有智能仪表盘,可以直观地看到代码质量趋势:
最后
这个项目的实现思路其实挺值得学习的。通过调用大模型的 API,让 AI 理解代码逻辑,然后根据常见的安全漏洞模式和最佳实践进行分析,最后生成结构化的审计报告。整个流程和 AI 代码审查是类似的,但更专注于安全漏洞的发现。
对于个人开发者来说,这类工具可以帮你在提交代码前发现潜在问题,拿来检测一下自己之前的老项目代码也是不错的;对于团队来说,可以把 AI 接入到 CI/CD 流程中,自动化代码安全检查。虽然本项目暂时还有误报,但随着 AI 能力的提升,以及作者在领域知识方面的填充,相信会越来越准确。
来试试看,你的项目代码里有多少个 Bug?
更多编程学习资源
Java前端程序员必做项目实战教程+毕设网站
程序员免费编程学习交流社区(自学必备)
程序员保姆级求职写简历指南(找工作必备)
程序员免费面试刷题网站工具(找工作必备)
最新Java零基础入门学习路线 + Java教程
最新Python零基础入门学习路线 + Python教程
最新前端零基础入门学习路线 + 前端教程
最新数据结构和算法零基础入门学习路线 + 算法教程
最新C++零基础入门学习路线、C++教程
最新数据库零基础入门学习路线 + 数据库教程
最新Redis零基础入门学习路线 + Redis教程
最新计算机基础入门学习路线 + 计算机基础教程
最新小程序入门学习路线 + 小程序开发教程
最新SQL零基础入门学习路线 + SQL教程
最新Linux零基础入门学习路线 + Linux教程
最新Git/GitHub零基础入门学习路线 + Git教程
最新操作系统零基础入门学习路线 + 操作系统教程
最新计算机网络零基础入门学习路线 + 计算机网络教程
最新设计模式零基础入门学习路线 + 设计模式教程
最新软件工程零基础入门学习路线 + 软件工程教程
