Skip to content

【开源自荐(1K+Star)】国内首个开源的漏洞挖掘多智能体平台,小学生也能随便挖漏洞,支持自动验证/PoC生成,大佬手中更是利器 #8456

Open
Open
【开源自荐(1K+Star)】国内首个开源的漏洞挖掘多智能体平台,小学生也能随便挖漏洞,支持自动验证/PoC生成,大佬手中更是利器#8456
Labels
weekly
@lintsinghua

Description

@lintsinghua
lintsinghua
opened on Dec 15, 2025

DeepAudit - 开源的代码审计智能体平台 🦸‍♂️

https://github.com/lintsinghua/DeepAudit

让代码漏洞挖掘像呼吸一样简单,小白也能当黑客挖洞

Image

Image

📸 界面预览

🤖 Agent 审计入口

Image

首页快速进入 Multi-Agent 深度审计

📋 审计流日志

Image

实时查看 Agent 思考与执行过程

 🎛️ 智能仪表盘

Image
一眼掌握项目安全态势
⚡ 即时分析

Image
粘贴代码 / 上传文件,秒出结果 		🗂️ 项目管理

Image
GitHub/GitLab 导入,多项目协同管理

📊 专业报告

Image

一键导出 PDF / Markdown / JSON(图中为快速模式,非Agent模式报告)

👉 查看Agent审计完整报告示例

⚡ 项目概述

DeepAudit 是一个基于 Multi-Agent 协作架构的下一代代码安全审计平台。它不仅仅是一个静态扫描工具,而是模拟安全专家的思维模式,通过多个智能体(Orchestrator, Recon, Analysis, Verification)的自主协作,实现对代码的深度理解、漏洞挖掘和 自动化沙箱 PoC 验证

我们致力于解决传统 SAST 工具的三大痛点:

  • 误报率高 — 缺乏语义理解,大量误报消耗人力
  • 业务逻辑盲点 — 无法理解跨文件调用和复杂逻辑
  • 缺乏验证手段 — 不知道漏洞是否真实可利用

用户只需导入项目,DeepAudit 便全自动开始工作:识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告,最终输出一份专业审计报告。

核心理念: 让 AI 像黑客一样攻击,像专家一样防御。

💡 为什么选择 DeepAudit?

😫 传统审计的痛点 💡 DeepAudit 解决方案
人工审计效率低
跨不上 CI/CD 代码迭代速度,拖慢发布流程		 🤖 Multi-Agent 自主审计
AI 自动编排审计策略,全天候自动化执行
传统工具误报多
缺乏语义理解,每天花费大量时间清洗噪音		 🧠 RAG 知识库增强
结合代码语义与上下文,大幅降低误报率
数据隐私担忧
担心核心源码泄露给云端 AI,无法满足合规要求		 🔒 支持 Ollama 本地部署
数据不出内网,支持 Llama3/DeepSeek 等本地模型
无法确认真实性
外包项目漏洞多,不知道哪些漏洞真实可被利用		 💥 沙箱 PoC 验证
自动生成并执行攻击脚本,确认漏洞真实危害

🏗️ 系统架构

整体架构图

DeepAudit 采用微服务架构,核心由 Multi-Agent 引擎驱动。

Image

🔄 审计工作流

步骤 阶段 负责 Agent 主要动作
1 策略规划 Orchestrator 接收审计任务,分析项目类型,制定审计计划,下发任务给子 Agent
2 信息收集 Recon Agent 扫描项目结构,识别框架/库/API,提取攻击面(Entry Points)
3 漏洞挖掘 Analysis Agent 结合 RAG 知识库与 AST 分析,深度审查代码,发现潜在漏洞
4 PoC 验证 Verification Agent (关键) 编写 PoC 脚本,在 Docker 沙箱中执行。如失败则自我修正重试
5 报告生成 Orchestrator 汇总所有发现,剔除被验证为误报的漏洞,生成最终报告

Metadata

Metadata

Assignees

No one assigned

    Labels

    weekly

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions