「神医」专家级智能安全助手,一键检修代码漏洞

admin
admin
admin
0
文章
0
评论
2026-03-18 21:13:23 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 京东安全推出智能安全助手神医,解决传统检测滞后问题。神医结合SHENYI大模型与CPG代码属性图技术,精准定位漏洞传播链路,准确率达89%。其采用端云协同架构与IDE插件集成,实现编码阶段的实时检测与分钟级修复,显著提升研发效能,推动安全研发范式向AI化变革。 综合评分: 75 文章分类: 产品介绍,AI安全,安全工具,代码审计,安全开发

cover_image

「神医」专家级智能安全助手,一键检修代码漏洞

原创

JSRC JSRC

京东安全应急响应中心

2026年3月11日 19:01 北京

01

AI时代的安全“代际挑战”

自 2023 年生成式AI爆发以来,软件开发已经进入“超高速”时代。然而,传统安全检测手段——静态分析误报率高、动态检测覆盖不足、人工审查效率低下——已无法匹配研发节奏,导致“安全债务”快速积累。与此同时,AI生成代码的语义偏差引入隐蔽漏洞,供应链攻击风险加剧,安全防线面临前所未有的压力。

为应对当下情况,京东安全打造了治理漏洞的专属AI工具——「神医」,一款可支持检修80+项CWE/CVE代码漏洞、准确率达到89%的安全智能体。

02

通用模型直接应用于代码安全的局限性

研究团队发现,基于代码片段/单文件,直接调用模型进行分析的效果很差,具体如下:

上下文理解能力不足,难以支撑复杂链路分析。代码项目本质上是复杂的图结构,参数、语句是节点,调用关系构成数据链路。安全检测(尤其是污点分析)需要跨文件、跨函数的全链路追踪,而通用模型基于文本序列建模,难以有效处理这种指数级增长的图结构关系,从实际情况看,通用模型普遍缺失过滤不可调用漏洞点位的能力。

泛化现象严重,难以聚焦高优漏洞。通用模型倾向于生成“泛化”建议,但安全检测需要精准定位高危漏洞,而非泛泛而谈。如代码风格、命名规范等非安全问题被大量标记,分散开发者注意力,真正危险的逻辑缺陷(如权限绕过、SQL注入)可能被淹没在大量低优告警中。

03

神医的核心理念-精准、实时、高性能

精准:安全垂类智能体精准定位高危漏洞,准确率达89%

传统安全工具依赖固定规则库,误报率高,难以应对新型威胁。「神医」通过打造安全专属模型(SHENYI),实现代码的语义级理解与漏洞传播链的精准定位。这使得准确率提升至89%,从根本上减少了无效告警对研发精力的消耗。

通过对百万代码回扫,神医支持检修其中90%以上的高危漏洞,以下是神医支持检修的一些漏洞类型:

实时:安全能力无缝嵌入开发流程

安全不应是开发流程的“刹车”,而应是“导航”。「神医」通过IDE插件实现编码阶段实时拦截,在开发者敲下代码的同时,即时标记潜在风险并提供修复建议。这种“无感防护”机制,将安全防线大幅前移,变“事后补救”为“事前预防”。

高性能:端云架构实现效率与深度的平衡

通过创新的端云协同架构,「神医」在IDE端进行快速预筛选,在云端进行深度分析。该设计降低90%的负载,将全量代码检测从小时级缩短至分钟级,完美兼顾了开发体验与安全分析的深度。

04

技术纵深:AI与图分析的深度融合

「神医」的核心技术引擎由三部分组成:

1.SHENYI安全大模型:作为“诊断大脑”,依托百万级高质量代码语料进行深度训练,具备对代码语义的精准理解能力与多维度威胁模式识别能力,目前已系统性覆盖CWE 与 CVE 标准体系,支持超过80+项已知漏洞模式的智能检测与修复。

2.CPG代码属性图:作为“病理分析仪”,将代码转化为控制流、数据流、调用关系的综合图谱,精准绘制漏洞传播路径,实现污点传播追踪,精准定位可被利用的漏洞。

💡代码CPG处理工作流

3.动态负载均衡系统:作为“智能分诊台”,根据任务复杂度动态分配端侧与云端计算资源,实现检测效率与精度的最优平衡。

💡神医引擎架构图(核心模块)

05

实践成效:效能提升与文化融合

自应用以来,神医已取得显著成效:

  • 效能提升:单漏洞平均检修时间从“天”级缩短至“分钟”级。
  • 接受程度高:神医量级轻、易上手,开发接受度高,89%准确率让开发能切实感受到AI在安全领域带来的便捷。
  • 全链路覆盖:「神医」已与CICD工具无缝集成,支持IDE、服务端、Web端全链路协同。

影响

传统安全到AI安全研发的转移

相较于传统安全,AI大大拓宽了安全工具的能力边界,而「神医」要做的,是在拓宽能力边界的同时,还要更加精准的定位出高危的、可能会产生资产损失的安全风险,这不仅是单一工具的升级,更是让AI安全走进开发流程的进一步探索。未来,京东安全将持续探索AI在漏洞预测、自动化安全测试等更深层次的应用。同时,京东安全愿与行业伙伴分享“端云协同、智能诊疗”的技术理念与实践经验,共同应对AI时代的安全挑战,推动整个产业安全研发范式的演进。

让安全成为智能研发的天然属性,而非事后附加的负担。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:京东安全应急响应中心 JSRC JSRC《「神医」专家级智能安全助手,一键检修代码漏洞》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
    ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
    安全领域涉猎者-乌云独行地带
    ZONE.CI 全球网
    评论:0   参与:  0