简介
DeepAudit 是一个基于 Multi-Agent 协作架构的下一代代码安全审计平台。它不仅仅是一个静态扫描工具,而是模拟安全专家的思维模式,通过多个智能体(Orchestrator, Recon, Analysis, Verification)的自主协作,实现对代码的深度理解、漏洞挖掘和 自动化沙箱 PoC 验证。
本项目采用 AGPL-3.0 License 开源。
4.4K⭐
功能特点
用户只需导入项目,DeepAudit 便全自动开始工作:识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告,最终输出一份专业审计报告。
核心理念: 让 AI 像黑客一样攻击,像专家一样防御。
| |
|---|
| 人工审计效率低 | 🤖 Multi-Agent 自主审计 |
| 传统工具误报多 | 🧠 RAG 知识库增强 |
| 数据隐私担忧 | 🔒 支持 Ollama 本地部署数据不出内网,支持 Llama3/DeepSeek 等本地模型 |
| 无法确认真实性 | 💥 沙箱 PoC 验证 |
整体架构图
DeepAudit 采用微服务架构,核心由 Multi-Agent 引擎驱动。
审计工作流
| | | |
|---|
| 策略规划 | Orchestrator | 接收审计任务,分析项目类型,制定审计计划,下发任务给子 Agent |
| 信息收集 | Recon Agent | 扫描项目结构,识别框架/库/API,提取攻击面(Entry Points) |
| 漏洞挖掘 | Analysis Agent | 结合 RAG 知识库与 AST 分析,深度审查代码,发现潜在漏洞 |
| PoC 验证 | Verification Agent | (关键) 编写 PoC 脚本,在 Docker 沙箱中执行。如失败则自我修正重试 |
| 报告生成 | Orchestrator | 汇总所有发现,剔除被验证为误报的漏洞,生成最终报告 |
Multi-Agent 智能审计
| |
|---|
sql_injection | | xss | | command_injection | | path_traversal | | ssrf | | xxe | |
| | |
|---|
insecure_deserialization | | hardcoded_secret | | weak_crypto | | authentication_bypass | | authorization_bypass | | idor | |
|
🌍 国际平台OpenAI GPT-4o / GPT-4Claude 3.5 Sonnet / OpusGoogle Gemini ProDeepSeek V3 | 🇨🇳 国内平台通义千问 Qwen智谱 GLM-4Moonshot Kimi文心一言 · MiniMax · 豆包 | 🏠 本地部署OllamaLlama3 · Qwen2.5 · CodeLlamaDeepSeek-Coder · Codestral代码不出内网 |
| | |
|---|
| | |
| | |
| | |
| GitHub/GitLab/Gitea 导入,ZIP 上传,10+ 语言支持 | |
| | |
| Bug · 安全 · 性能 · 风格 · 可维护性 | |
| | |
| | |
| | |
| PDF / Markdown / JSON 一键导出 | |
| | |
开源地址
https://github.com/lintsinghua/DeepAudit
