文章总结： 随着框架安全提升，传统漏洞减少而业务逻辑漏洞成为痛点。作者利用DeepAudit等AI工具进行批量代码审计，发现其在挖掘越权等逻辑漏洞上表现优异且成本极低。该工具处于开发阶段，需手动调整提示词以专注特定漏洞类型，可玩性高，是辅助人工渗透的有效低成本方案。 综合评分： 82 文章分类： 代码审计,AI安全,安全工具,应用安全

AI代码审计工具使用

陈不沉 陈不沉

舒克的freestyle

2026年1月27日 19:00 广东

起因是实际工作中感受到，伴随着各类开发框架对安全的水位提升，诸如传统漏洞（如sql注入、xss等）已日渐销声匿迹，日常更多的是未授权、越权、业务逻辑等漏洞，这几类漏洞依靠代码扫描工具难以发现，更多依赖人工渗透，凭借经验挖掘。

但面对海量接口，人工渗透也难免会有遗漏，于是我想能否找到一个工具\方案，批量的审计、发现。

恰好公众号推送了一条关于claude skills+lsp的代码审计实践：

https://mp.weixin.qq.com/s/3Cq4ptqLFoTr03vSqE5riA

一下子打开了我的思路，AI本身的理解能力，不就是最适合找寻上述漏洞的助手吗！

之后就是去找寻开源的相关AI审计工具了，强烈推荐下面的工具：

https://github.com/lintsinghua/DeepAudit/

作者更新的很快，我下的时候是3.0.2版本，几天过去已经是3.0.4了。

使用下来的感觉就是工具很强，非常强。AI的表现很让人满意。不过目前系统还在开发阶段中，有些功能或多或少存在问题，需要自己有调整解决的能力。例如漏洞的专注度调整：比如我只想检测越权漏洞，实际使用发现目前需要在agent任务创建功能-代码内手动进行调整才可生效。而提示词的侧重，也关乎最终的审计结果，综合下来可玩性很高。

最后是成本说明：

模型我使用的deepseek chat+ text-embedding-ada-002。

以第一次审计一个中型项目为例：deepseek-chat只花费了3毛钱，text-embedding-ada-002费用稍高，一块钱左右。成本极低。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：舒克的freestyle 陈不沉 陈不沉《AI代码审计工具使用》