文章总结： 本文分享了利用开源skill与国产GML5模型进行代码审计的实战经验。测试表明AI能精准定位文件上传及SQL注入漏洞并提供POC，但在复杂项目中效果稍逊。作者认为AI代码审计能力已成熟且将持续优化，然而在黑盒渗透测试特别是逻辑漏洞挖掘方面，因网站随机性强，AI表现不如人工高效，其应用前景有待验证。 综合评分： 72 文章分类： 代码审计,AI安全,实战经验,安全工具

Ai Agent+skill代码审计现在真的挺强

原创

Xz Xz

Alex安全

2026年2月28日 12:17 北京

最近使用一个开源skill审计了下一些代码

https://github.com/RuoJi6/java-audit-skills

用的模型还是国产的GML5，结果也是很不错的

直接看结果吧，漏洞基本对得上

天锐绿盾的审计结果：

文件上传类：

全部找到了

也有漏洞位置跟简单的poc

sql注入：

虽然不太细，但是也把所有存在$拼接的地方也给找出来了

jshERP-boot：

sql注入：

文件上传：

之后我又尝试了复杂的项目代码比如某些签章系统的，效果会差点，但换成国外模型应该就会好很多了。

    代码审计ai做是没什么问题了，以后只会更好，但是渗透的话，网站太过于随机化，除了poc验证，让ai自己调用chrome的mcp进行测试，或者其他的mcp测试，测一些未授权、越权这些，总是不尽人意，不如人工快。不知道这条路最终能不能通过ai去做

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Alex安全 Xz Xz《Ai Agent+skill代码审计现在真的挺强》