DeepAudit 是清华大学开源的 AI 代码安全审计平台。通过 Multi-Agent 架构Orchestrator Recon Analysis Verification 四个 AI 智能体协作模拟安全专家的思维模式对代码进行深度漏洞挖掘并自动生成 PoC 脚本在 Docker 沙箱中验证漏洞真实性最后输出专业审计报告。简单说输入项目代码DeepAudit 自动找出漏洞并验证可利用性输出详细报告。适用于上线前安全检测、DevSecOps CI/CD 集成、漏洞挖️仓库:https://github.com/lintsinghua/DeepAudit最新版本: 3.0.4 | License: AGPL-3.0 | Star: 21k一、系统架构图架构图界面预览https://github.com/lintsinghua/DeepAudit/tree/v3.0.0/frontend/public/images/README-show二、核心功能 两种审计模式模式说明适用场景即时分析粘贴代码/上传文件秒级出结果快速检查代码片段Agent 深度审计Multi-Agent 协作自动 PoC 验证全面深度安全审计 RAG 知识库Tree-sitter AST 智能代码分块ChromaDB 向量存储内置 CWE/CVE 漏洞知识库支持自定义上传知识库支持Python, JavaScript, Java, Go, PHP, Rust 等 安全沙箱Docker 隔离执行 PoC内存、CPU 资源限制网络隔离可配置内置Semgrep, Bandit, Safety, npm audit, OSV-Scanner, Gitleaks三、Multi-Agent 工作流步骤Agent职责1Orchestrator制定策略分配任务汇总报告2Recon Agent扫描结构识别技术栈提取攻击面3Analysis AgentSemgrep RAG AST 分析挖掘漏洞4Verification AgentPoC 生成 → 沙箱验证失败自动重试四、支持的漏洞检测12 类sql_injection / xss / command_injection / path_traversal / ssrf / xxe / insecure_deserialization / hardcoded_secret / weak_crypto / authentication_bypass / authorization_bypass / idor内置工具Semgrep多语言、BanditPython、Gitleaks/TruffleHog密钥检测、npm audit、OSV-Scanner、cargo-audit五、本地部署步骤 一键部署国内加速curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d访问前端http://localhost:3000后端http://localhost:8000/docs账户demoexample.com / demo123 手动部署git clone https://github.com/lintsinghua/DeepAudit.git cd DeepAuditcp backend/env.example backend/.env# 编辑 backend/.env填入 LLM API Keydocker compose -f docker-compose.prod.cn.yml up -denv 示例LLM_PROVIDERopenaiLLM_API_KEYsk-your-keyLLM_MODELgpt-4o-miniAGENT_ENABLEDtrueSANDBOX_ENABLEDtrue六、支持的 LLMOpenAI (GPT-4o) / Claude 3.5 / DeepSeek / 通义千问 / 智谱 GLM / Kimi / Gemini / Ollama本地七、使用技巧登录 → 导入项目 → 选择模式 → 查看结果 → 导出报告Agent 模式 效果优于即时分析DeepSeek V3 性价比最高Claude 3.5 代码理解最强启用沙箱验证 确认漏洞真实性避免误报指定漏洞类型 聚焦关注类型减少噪音八、漏洞挖掘成果49 个 CVE6 个 GHSA涉及 17 个开源项目OpenClaw、Dataease、Zentao PMS、H2O-3、JimuReport、O2OA 等九、联系GitHubhttps://github.com/lintsinghua/DeepAudit邮箱lintsinghuaqq.com
DeepAudit v3.0.4 使用介绍
发布时间:2026/6/23 3:26:54
DeepAudit 是清华大学开源的 AI 代码安全审计平台。通过 Multi-Agent 架构Orchestrator Recon Analysis Verification 四个 AI 智能体协作模拟安全专家的思维模式对代码进行深度漏洞挖掘并自动生成 PoC 脚本在 Docker 沙箱中验证漏洞真实性最后输出专业审计报告。简单说输入项目代码DeepAudit 自动找出漏洞并验证可利用性输出详细报告。适用于上线前安全检测、DevSecOps CI/CD 集成、漏洞挖️仓库:https://github.com/lintsinghua/DeepAudit最新版本: 3.0.4 | License: AGPL-3.0 | Star: 21k一、系统架构图架构图界面预览https://github.com/lintsinghua/DeepAudit/tree/v3.0.0/frontend/public/images/README-show二、核心功能 两种审计模式模式说明适用场景即时分析粘贴代码/上传文件秒级出结果快速检查代码片段Agent 深度审计Multi-Agent 协作自动 PoC 验证全面深度安全审计 RAG 知识库Tree-sitter AST 智能代码分块ChromaDB 向量存储内置 CWE/CVE 漏洞知识库支持自定义上传知识库支持Python, JavaScript, Java, Go, PHP, Rust 等 安全沙箱Docker 隔离执行 PoC内存、CPU 资源限制网络隔离可配置内置Semgrep, Bandit, Safety, npm audit, OSV-Scanner, Gitleaks三、Multi-Agent 工作流步骤Agent职责1Orchestrator制定策略分配任务汇总报告2Recon Agent扫描结构识别技术栈提取攻击面3Analysis AgentSemgrep RAG AST 分析挖掘漏洞4Verification AgentPoC 生成 → 沙箱验证失败自动重试四、支持的漏洞检测12 类sql_injection / xss / command_injection / path_traversal / ssrf / xxe / insecure_deserialization / hardcoded_secret / weak_crypto / authentication_bypass / authorization_bypass / idor内置工具Semgrep多语言、BanditPython、Gitleaks/TruffleHog密钥检测、npm audit、OSV-Scanner、cargo-audit五、本地部署步骤 一键部署国内加速curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d访问前端http://localhost:3000后端http://localhost:8000/docs账户demoexample.com / demo123 手动部署git clone https://github.com/lintsinghua/DeepAudit.git cd DeepAuditcp backend/env.example backend/.env# 编辑 backend/.env填入 LLM API Keydocker compose -f docker-compose.prod.cn.yml up -denv 示例LLM_PROVIDERopenaiLLM_API_KEYsk-your-keyLLM_MODELgpt-4o-miniAGENT_ENABLEDtrueSANDBOX_ENABLEDtrue六、支持的 LLMOpenAI (GPT-4o) / Claude 3.5 / DeepSeek / 通义千问 / 智谱 GLM / Kimi / Gemini / Ollama本地七、使用技巧登录 → 导入项目 → 选择模式 → 查看结果 → 导出报告Agent 模式 效果优于即时分析DeepSeek V3 性价比最高Claude 3.5 代码理解最强启用沙箱验证 确认漏洞真实性避免误报指定漏洞类型 聚焦关注类型减少噪音八、漏洞挖掘成果49 个 CVE6 个 GHSA涉及 17 个开源项目OpenClaw、Dataease、Zentao PMS、H2O-3、JimuReport、O2OA 等九、联系GitHubhttps://github.com/lintsinghua/DeepAudit邮箱lintsinghuaqq.com
相关文章
OpenClaw人人养虾:openclaw docs
快速访问 OpenClaw 文档,支持在浏览器中打开在线文档或启动本地文档服务器。命令签名openclaw docs [topic] [选项]选项选项类型说明--localboolean启动本地文档服务器--port <port>number本地服务器端口(默认 18792)说明openclaw docs…
【2025实战】VMware 17 Pro从零到精通的完整配置手册|含性能调优与高效使用技巧
1. VMware 17 Pro入门:从下载到安装的完整指南 VMware 17 Pro作为当前最强大的虚拟化平台之一,已经成为开发者、运维人员和IT学习者的必备工具。相比传统双系统方案,它能在单台电脑上同时运行多个操作系统,而且切换只需点击鼠标。…
5分钟极速指南:Axure RP 中文界面一键配置方案
5分钟极速指南:Axure RP 中文界面一键配置方案 【免费下载链接】axure-cn Chinese language file for Axure RP. Axure RP 简体中文语言包。支持 Axure 11、10、9。不定期更新。 项目地址: https://gitcode.com/gh_mirrors/ax/axure-cn 还在为Axure RP的全英…
WeMod完整功能免费解锁终极指南:三步获得高级游戏修改体验
WeMod完整功能免费解锁终极指南:三步获得高级游戏修改体验 【免费下载链接】Wand-Enhancer Advanced UX and interoperability extension for Wand (WeMod) app 项目地址: https://gitcode.com/gh_mirrors/we/Wand-Enhancer 还在为游戏修改器的高级功能付费而…
TypeScript中数字与字符串类型的转换实例
在TypeScript中,类型系统非常严格,这有时会带来一些有趣的挑战。最近,我遇到一个问题:如何将一个数字变量赋值给一个只能接受数字字符串的变量?让我们来看看这个问题以及它的解决方案。 问题描述 假设我们有一个数字变量x,我们希望将其转换为一个字符串变量y,而y只能接…
ACS Catal. 超高压 CO₂电还原选择性的非单调行为:从浓度驱动到电荷转移调控
一、研究背景 电化学 CO₂还原 (CO₂RR) 是将温室气体转化为高附加值化学品、实现碳中和的核心技术路径,但如何同时实现高反应活性与精准产物选择性调控仍是领域面临的核心挑战。高压操作因能显著提升 CO₂在水溶液中的溶解度(遵循亨利定律)…
原来还有这么诚信的设备搬迁企业,究竟好在哪?
在设备搬迁领域,找到一家诚信可靠的企业至关重要。四川久德地久建设工程有限责任公司就是这样一家备受赞誉的企业,下面我们来看看它究竟好在哪里。 专业技术与创新实力 四川久德地久拥有14项国家实用新型授权专利,覆盖重型设备搬运、吊装、临…
你的TI芯片又缺货涨价?一家伺服厂商的国产替代实战
近年来,因供应链成本持续攀升,德州仪器(TI)C2000系列DSP芯片多次出现价格大幅上涨、交期不稳的状况。受此影响,大批工业控制、伺服驱动、数字电源企业为保障供应链安全,开始加速寻求国产替代方案。 然而&a…
手搓Claude Code式AI Agent:可审计、可隔离、可进化的智能工作流
1. 这不是“装个插件”——Claude Code式Agent的本质是工作流重铸 你点开GitHub搜 learn-claude-code ,看到README里一行“Run pip install learn-claude-code ”,心里一松:哦,又一个Python包,照着pip install im…
AI谈判中透明度与人格特质如何影响人机信任与合作
1. 项目概述:当AI成为谈判桌上的“新同事”最近几年,AI从后台的“计算器”逐渐走向前台,开始扮演“协作者”甚至“谈判者”的角色。无论是电商平台的智能议价客服,还是企业内部用于采购、资源分配的自动化谈判代理,人机…
跨平台Java开发:构建无处不在的应用
在当今数字化时代,应用的跨平台能力已成为企业竞争的关键因素。无论是移动设备、桌面系统还是嵌入式设备,用户都期望能够无缝访问他们喜爱的应用。Java,作为一种成熟且强大的编程语言,凭借其“一次编写,到处运行”的核…
解锁学术高效写法!paperxie智能写作,搞定毕业论文全程难题
paperxie-免费查重复率aigc检测/开题报告/毕业论文/智能排版/文献综述/课程论文毕业论文 - PaperXie智能写作PaperXieAi论文智能生成软件,10分钟生成万字毕业论文、期刊论文、文献综述、PPT,Aigc查重、降重报告、文献资料。只需一个标题,从开…
Google AI Studio 300美元额度的真相与实战指南
1. 这300美金不是“送钱”,而是Google埋下的第一道技术门槛 你看到标题里那个醒目的“$300美金”时,第一反应可能是:又一个免费额度?领完就完事?我亲手试过——这300美金根本不是红包,而是一张入场券&…
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程 【免费下载链接】diff-pdf A simple tool for visually comparing two PDF files 项目地址: https://gitcode.com/gh_mirrors/di/diff-pdf 还在为PDF文档的版本对比而烦恼吗?diff-pdf这款开…
嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用
1. 嵌入式GUI控件:从原理到实战的深度解析在嵌入式系统开发中,图形用户界面(GUI)的设计与实现往往是项目从“能用”到“好用”的关键一跃。不同于资源充沛的PC或移动平台,嵌入式设备的GUI需要在有限的CPU性能、内存空间…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…