文章总结： 本文针对AI代码审计因上下文过长导致规则失效的问题，提出分阶段输出再整合的优化策略。作者推荐使用免费的glm4.7模型，其在常规漏洞检测上接近ClaudeOpus水平。文章分享了优化后的Prompt及GitHub链接，旨在提升代码审计效率。 综合评分： 87 文章分类： 代码审计,安全工具,实战经验

AI自主决策代码审计的小优化

原创

现在你看到我的ID了 现在你看到我的ID了

E条咸鱼

2026年1月22日 20:24 广东

前言

这篇文章实际上就是上一次ai自主决策的代码审计提示词的优化

上一版后面又测了几个开源项目，虽然都能正常产出漏洞（直接未授权到获取管理员权限），但是过程比较曲折，而且还算是有点依赖人工的，所以优化了一下

问题

先说说问题，因为核心规则分为两个部分，实际上关于http数据包和一些越权分析的要求都放在了最后面，导致阶段任务的结果写入到代码审计文档中的时候，ai会因为上下文过长，从而忽略了最下面还有规则。

导致后面有的报告，比较杂乱，需要进行复查才能有一个比较准确的结果

目前工作流程&使用分享

工作流程和上一份没变

分析框架->找出所有接口->列出权限控制的方式->依次分阶段开始专项审计->漏洞组合利用->整合报告

这里也是主要给xdm分享一下我认为比较舒适的使用场景

工具当然是在准确度有了一定保障的前提下，越便宜越好，免费则是最好

所以我推荐使用ai编辑器trae cn，国内的版本允许免费使用glm4.7，在长达三四个星期的测试中，我发现在常规sql、xss、越权这类漏洞的效果实际跟claude opus差不多，同时solo模式也允许并行的处理任务，大大提高了审计的效率（除了中午下午的时候这个模型需要排队外）

但是考虑到并行处理会影响各个任务写入文档，所以我把提示词修改为单独输出阶段报告，然后最后整合

目前已经把最新的提示词文档放到了github上

https://github.com/Ernket/AI-Code-Audit-Prompt-Words

有兴趣的师傅可以看看，我把我调用的prompt也更新到了上面

最近在写claude code的skill，感兴趣的师傅也可以后台交流

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：E条咸鱼 现在你看到我的ID了 现在你看到我的ID了《AI自主决策代码审计的小优化》