文章总结： 本文介绍利用Trae和GPTCodex等AI编程工具实现低门槛代码审计的方法。通过演示对MiniCMS项目的审计流程，展示了配置审计技能后让AI自动生成漏洞链路并完成Source到Sink分析的过程。作者指出该工作流无需复杂提示词或高深技术即可自动化挖掘漏洞，并推广了相关AI社区与知识星球。 综合评分： 55 文章分类： 代码审计,安全工具,实战经验,AI安全

没有技术含量的成为代码审计专家

原创

chobits02 chobits02

C4安全

2026年3月16日 11:09 江苏

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

01 关于Trae等AI编程工具

在AI代码审计前，请先了解下现在主流的AI Vibe Coding工具。

国内目前字节跳动的Trae分国内版和国际版，国内版能用国内的大模型（也有免费使用额度），国际版偏向国外大模型支持，现在已经更新支持了gpt-5.3-codex（会员订阅才能使用）

国外的opencode工具也有免费的模型MiniMax M2.5可以使用，但是这个模型评价不高不推荐

还有GPT官方的codex，需要自己接GPT官方的key才行，好处是什么模型都能用，包扩最新的gpt-5.4，而且它还能直接给你生成skill（因为自带了创建skill这个能力，比较强），然后套给其他AI编辑器

现在体验下来是gpt更聪明一点

02 然后做代码审计

这里只需要给出需要审计的代码，还有审计代码的skill就行

这里我们不需要选用特别的审计技能，你能让AI自己先生成一套完整的漏洞审计链路（不同编程语言不同漏洞点）

这里演示用Trae来审计

在设置中配置技能

这里没有必要配置http_fuzzer工具，最多在MCP里面配置可以调用飞书来输出漏洞报告文档

审计的项目代码

https://github.com/bg5sbk/MiniCMS/releases/tag/v1.11

03 工作流

审计流程就是这么一回事，无需任何脑力活动即可

把项目代码丢给他，开始审计即可，无需切换trae solo模式，没有那种长上下文的需求，你也不是设计界面写代码什么的

审计完成source -> sink全流程

这个流程不需要特别的提示词，整个工作流的流程都是自动完成的

是不是很无脑简单

专业的国内网络安全AI社区平台推荐

https://www.wwlib.cn/

50免费积分兑换码：WUWEN_1u7CcAHUVEb1W9VlVs

兑换地址：https://www.wwlib.cn/index.php/gift

团队内部知识大陆链接如下，折扣优惠中~

#

永久帮会内部技术交流群

✅ 如果你刚刚入门、对挖洞有兴趣却无从下手；

✅ 如果你不想再被割裂的信息、过时的教材所困；

✅ 如果你想在真实环境中练手并与同行共同成长；

那么你一定不能错过「安全渗透感知大家族」。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：C4安全 chobits02 chobits02《没有技术含量的成为代码审计专家》