文章总结： DeepAudit是一款基于Multi-Agent架构的AI代码审计平台，模拟黑客思维实现自动化漏洞挖掘与沙箱PoC验证。该工具通过四个智能体协同工作，解决了传统审计误报高、效率低及缺乏验证的痛点，已发现49个CVE。新版本优化了协作机制与SSRF防护，支持本地部署保障隐私。文章提供了详细的Docker部署命令与开发指南，帮助安全人员快速落地自动化审计能力。 综合评分： 75 文章分类： 代码审计,安全工具,AI安全,产品介绍

让 AI 像黑客一样思考，已斩获 49 个 CVE 的开源漏洞！全新一代AI代审工具漏洞发现效率提升 10 倍

ez-lbz ez-lbz

渗透安全HackTwo

2026年3月4日 00:01 广东

0x01 工具介绍

DeepAudit 是一个基于 Multi-Agent 协作架构的下一代代码安全审计平台（V3.0.4 于 2026-3-3 全新升级）。它不仅仅是一个静态扫描工具，而是模拟安全专家的思维模式，通过多个智能体Orchestrator, Recon, Analysis, Verification的自主协作，实现对代码的深度理解、漏洞挖掘和 自动化沙箱 PoC 验证。传统代码审计依赖人工、误报高、效率低，复杂业务逻辑与深层漏洞难以挖掘。如今，新一代 AI 多智能体审计工具彻底改变这一现状，它模拟黑客攻击思维，自主完成侦察、分析、验证全流程，已累计发现 49 个 CVE 漏洞，让代码安全审计从繁重手工变为高效自动化，人人都能拥有专业级审计能力。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能介绍

📸 界面预览

🤖 Agent 审计入口

首页快速进入 Multi-Agent 深度审计

| | | | — | — | | 📋 审计流日志 实时查看 Agent 思考与执行过程 | 🎛️ 智能仪表盘 一眼掌握项目安全态势 | | ⚡ 即时分析 粘贴代码 / 上传文件，秒出结果 | 🗂️ 项目管理 GitHub 导入，多项目协同管理 |

📊 专业报告

💡 为什么选择 DeepAudit？

| 😫 传统审计的痛点 | 💡 DeepAudit 解决方案 | | — | — | | 人工审计效率低 跨不上 CI/CD 代码迭代速度，拖慢发布流程 | 🤖 Multi-Agent 自主审计 AI 自动编排审计策略，全天候自动化执行 | | 传统工具误报多 缺乏语义理解，每天花费大量时间清洗噪音 | 🧠 RAG 知识库增强 结合代码语义与上下文，大幅降低误报率 | | 数据隐私担忧 担心核心源码泄露给云端 AI，无法满足合规要求 | 🔒 支持 Ollama 本地部署 数据不出内网，支持 Llama3/DeepSeek 等本地模型 | | 无法确认真实性 外包项目漏洞多，不知道哪些漏洞真实可被利用 | 💥 沙箱 PoC 验证 自动生成并执行攻击脚本，确认漏洞真实危害 |

我们致力于解决传统 SAST 工具的三大痛点：

• 误报率高

  — 缺乏语义理解，大量误报消耗人力

• 业务逻辑盲点

  — 无法理解跨文件调用和复杂逻辑

• 缺乏验证手段

  — 不知道漏洞是否真实可利用

用户只需导入项目，DeepAudit 便全自动开始工作：识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告，最终输出一份专业审计报告。

核心理念: 让 AI 像黑客一样攻击，像专家一样防御。

整体架构图

DeepAudit 采用微服务架构，核心由 Multi-Agent 引擎驱动。

🔄 审计工作流

| 步骤 | 阶段 | 负责 Agent | 主要动作 | | — | — | — | — | | 1 | 策略规划 | Orchestrator | 接收审计任务，分析项目类型，制定审计计划，下发任务给子 Agent | | 2 | 信息收集 | Recon Agent | 扫描项目结构，识别框架/库/API，提取攻击面（Entry Points） | | 3 | 漏洞挖掘 | Analysis Agent | 结合 RAG 知识库与 AST 分析，深度审查代码，发现潜在漏洞 | | 4 | PoC 验证 | Verification Agent | (关键) 编写 PoC 脚本，在 Docker 沙箱中执行。如失败则自我修正重试 | | 5 | 报告生成 | Orchestrator | 汇总所有发现，剔除被验证为误报的漏洞，生成最终报告 |

#

0x03更新说明

🛠️ 核心功能优化 ✨V3.0.4（2026-03-03）更新🤖 优化 Agent 协作能力：修复 Agent 间 TaskHandoff 通信机制，多智能体分工协作更稳定🔍 提升分支选择体验：分支选择功能新增搜索能力，解决分支过多时无法快速定位选择的问题（#143）⚙️ 增强模型适配性：嵌入模型向量维度支持自定义配置，解决 Ollama 不同参数规模模型维度不匹配的兼容问题⏱️ 优化 LLM 超时策略：Agent 审计的 LLM 超时时间支持配置化，告别硬编码 30s 超时的限制🎨 统一交互体验：对齐项目详情页「启动审计」弹窗与项目管理页样式 / 逻辑，操作更统一
🔒 安全防护升级 🛡️修复 SSRF 防护实现漏洞，强化内网安全防护能力通过固定返回时间的方式，规避 SSRF 扫描内网端口的风险
📌 其他更新合并社区贡献分支（#145），同步主分支最新迭代内容常规功能迭代与细节优化

0x04 使用介绍

📦安装指南

方式一：一行命令部署（推荐）

使用预构建的 Docker 镜像，无需克隆代码，一行命令即可启动：

curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml | docker compose -f - up -d

🇨🇳 国内加速部署（作者亲测非常无敌之快）

使用南京大学镜像站加速拉取 Docker 镜像（将 ghcr.io 替换为 ghcr.nju.edu.cn）：

# 国内加速版 - 使用南京大学 GHCR 镜像站curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d

手动拉取镜像（如需单独拉取）（点击展开）

# 前端镜像docker pull ghcr.nju.edu.cn/lintsinghua/deepaudit-frontend:latest# 后端镜像docker pull ghcr.nju.edu.cn/lintsinghua/deepaudit-backend:latest# 沙箱镜像docker pull ghcr.nju.edu.cn/lintsinghua/deepaudit-sandbox:latest

💡 镜像源由 南京大学开源镜像站 提供支持

💡 配置 Docker 镜像加速（可选，进一步提升拉取速度）（点击展开）

如果拉取镜像仍然较慢，可以配置 Docker 镜像加速器。编辑 Docker 配置文件并添加以下镜像源：

Linux / macOS：编辑 /etc/docker/daemon.json

Windows：右键 Docker Desktop 图标 → Settings → Docker Engine

{  "registry-mirrors": [    "https://docker.1ms.run",    "https://dockerproxy.com",    "https://hub.rat.dev"  ]}

保存后重启 Docker 服务：

# Linuxsudo systemctl restart docker# macOS / Windows# 重启 Docker Desktop 应用

🎉 启动成功！ 访问 http://localhost:3000 开始体验。

方式二：克隆代码部署

适合需要自定义配置或二次开发的用户：

# 1. 下载项目cd DeepAudit# 2. 配置环境变量cp backend/env.example backend/.env# 编辑 backend/.env 填入你的 LLM API Key# 3. 一键启动docker compose up -d

首次启动会自动构建沙箱镜像，可能需要几分钟。

🔧 源码开发指南

适合开发者进行二次开发调试。

环境要求

• Python 3.11+
• Node.js 20+
• PostgreSQL 15+
• Docker (用于沙箱)

1. 手动启动数据库

docker compose up -d redis db adminer

2. 后端启动

cd backend# 配置环境cp env.example .env# 使用 uv 管理环境（推荐）uv syncsource .venv/bin/activate# 启动 API 服务uvicorn app.main:app --reload

3. 前端启动

cd frontend# 配置环境cp .env.example .envpnpm installpnpm dev

3. 沙箱环境

开发模式下需要本地 Docker 拉取沙箱镜像：

# 标准拉取docker pull ghcr.io/lintsinghua/deepaudit-sandbox:latest# 国内加速（南京大学镜像站）docker pull ghcr.nju.edu.cn/lintsinghua/deepaudit-sandbox:latest

#

0x05 内部VIP星球介绍-V1.4（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5412+)，包含全网一些付费扫描工具及内部原创的Burp自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Zoomeye/Quake/Fofa高级会员/AI账号/CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2500+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/VuWGw

👉点击了解加入–>>内部VIP知识星球福利介绍V1.5版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260304获取下载、回复”加群”获取交流群

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.5（AI自动化）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2026.2专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo ez-lbz ez-lbz《让 AI 像黑客一样思考，已斩获 49 个 CVE 的开源漏洞！全新一代AI代审工具漏洞发现效率提升 10 倍》