写在前面
想用ai审计源码,识别一下漏洞。
一开始想基于二进制来审计,结果发现对于大型系统而言,全是误报,根本不实用。
项目目标
针对大型代码仓下的某个模块,能够扫描函数入口并识别安全问题。
审计流程
总体还是按照:
audit-orchestrator: 主agent负责按需执行以下子agent
project-profiler: 负责识别模块的函数入口
source-sink-tracer: 追踪函数调用链(基于codegraph)
false-positive-gatekeeper: 对结果复核
base-station-expert: 业务领域的知识和安全共识,帮助进一步降误报。
评测标准
todo~
reference
暂无