文章总结: IRify新增AI代码审计与AISkill安全分析两项联网功能,通过AI对话助手分析代码,支持普通项目源码和Skill场景。用户可通过引导窗口三步完成目录选择、审计风格设定并开始审计,工作台支持代码浏览、选中内容发送至AI及生成审计报告。与传统离线扫描互补,提供更深入的上下文分析与修复建议。 综合评分: 79 文章分类: 安全工具,AI安全,代码审计,漏洞分析
IRify新功能上线:AI代码审计和 Skills 安全扫描
原创
YAK YAK
Yak Project
2026年7月3日 17:53 湖南
在小说阅读器读本章
去阅读
本文介绍 IRify 中两项新的 AI联网审计 功能:AI 代码审计 与 AI Skill 安全分析。阅读后,你可以独立完成从打开软件、选择目录、开始审计,到与 AI 协作分析代码的全过程。
一、这两项功能是什么?
IRify 首页现在提供四种审计方式。其中 AI代码审计 和 AI Skill 安全分析 是本次新增的两项,都需要联网,通过右侧 AI 对话助手帮你分析代码。
| | | | | — | — | — | | | AI 代码审计 | AI Skill 安全分析 | | 适合分析什么 | 普通项目源码:业务逻辑、跨文件调用、复杂漏洞 | Skill 相关项目:Skill 是否安全、是否存在恶意行为 | | AI 擅长什么 | 读懂业务、解释风险、给出修复思路 | 针对 Skill 场景做专项分析 | | 首页按钮 | 「开始 AI 审计」 | 「开始 Skill 分析」 |
和传统「代码扫描」有什么区别?
- 传统代码扫描 / 传统代码审计:按内置规则离线扫描,速度快,适合批量找已知模式。
- AI代码审计 / Skill 安全分析:像和一位安全专家对话,你可以边看代码边提问,AI 能结合上下文做解释和研判。
两项 AI 功能进入的是 同一个工作台:左边看代码、右边和 AI 聊天,只是 AI 的分析模式不同。
二、打开 IRify 首页
启动 IRify 后,首先看到的是 代码审计工作台首页。
页面下方是项目与风险的统计概览;上方 「快速入口」 区域有四张卡片:
1.AI 代码审计(联网)
2.AI Skill 安全分析(联网)
3.传统代码审计(离线)— 原有功能
4.代码扫描(离线)— 原有功能
怎么选?
- 要审 普通业务代码、需要 AI 帮你读逻辑、解释漏洞 → 点 「开始 AI 审计」
- 要审 Skill 项目、关心 Skill 是否有恶意行为 → 点 「开始 Skill 分析」
- 只想按规则批量扫一遍、不需要对话 → 用另外两个离线功能即可
点击任一 AI 卡片后,会进入 AI 代码审计工作台;会先弹出 引导窗口(下一节详述)打开目录并开始审计。
三、引导窗口:三步完成准备
第一次使用,或点击「打开本地文件夹」时,会出现 引导窗口,分三步走。
YAK
第一步:选择目录
选择你要审计的 本地文件夹(即项目根目录)。
- 点击 「打开本地文件夹」 从本机选择
- 下方 「最近打开」 可快速选以前开过的目录
- 历史记录会显示小标签:代码审计、技能审计 或 未确定,方便辨认上次用的哪种模式
选好后点 「下一步」。
从首页带着类型进来的: 若你已从首页点了「开始 AI 审计」或「开始 Skill 分析」,类型已选好,这一步主要选目录。
YAK
第二步:选择审计风格
在 代码审计 和 Skill 安全分析 中二选一。
- 代码审计:通用源码安全分析
- Skill 安全分析:针对 Skill 的专项分析
选好后点 「下一步」。
可能跳过这一步的情况: 若从首页卡片进入且类型已确定,或你点的历史记录里已有明确类型,引导可能直接进入第三步。
YAK
第三步:确认并开始
核对目录、审计类型,并可编辑 预设消息(发给 AI 的第一句话)。
| | | | — | — | | 审计类型 | 默认预设消息(可改) | | 代码审计 | 开始审计 | | Skill 安全分析 | 请审计这个 Skill 是否存在恶意行为 |
底部有两个主要操作:
- 开始(紫色主按钮):
打开目录,自动把预设消息发给 AI 并开始分析;之后 审计类型不可再改
- 仅打开文件(灰色次要按钮)
只打开目录,预设消息 填进输入框但不发送;
你可以先自己看代码,改好问题再手动点发送;审计类型仍可切换
其他操作:
- 上一步:第三步点「上一步」会回到 第二步改审计类型(方便从历史记录进来后换类型)
- 取消 / 按 Esc / 点击窗口外:关闭引导,不会自动开始 AI
四、进入工作台后怎么用?
YAK
AI 审计
引导完成后,界面大致分为三块:
- 左侧文件目录 将可以选择浏览文件系统
- 中间代码编辑器, 可以浏览代码并选中内容发送到AI对话。
- 右侧AI审计:AI将会自动开始按照流程审计,并得到一份报告。可以发送选中的重点内容发送给AI。
YAK
把选中的代码发给 AI
在编辑器里 用鼠标选中一段代码,选区附近会出现悬浮按钮 「发送到 AI 会话」。
点击后,选中内容会作为附件出现在右侧 AI 输入区,你可以补充问题再发送。
也可以 右键菜单→发送到 AI 会话,效果相同。
典型用法: AI 先整体扫一遍 → 你在代码里发现可疑片段 → 选中后发给 AI 追问「这段有没有问题?怎么修?」
YAK
代码审计报告
在AI审计完成后将会得到报告。可选择打开查看报告。并选择下载到本地(PDF形式)。
五、几种常见使用方式
YAK
方式 1:从首页一键开始
1.首页点 「开始 AI 审计」或「开始 Skill 分析」。
2.引导里选目录 → 确认审计风格 → 点 「开始」。
3.AI 自动收到预设开始消息并开始工作;左侧可浏览代码,右侧看 AI 回复。
YAK
方式 2:先打开目录,稍后再问 AI
1.引导第三步点 「仅打开文件」。
2.目录打开,预设消息在输入框里但不会自动发出。
3.可以先自己看代码,想好问题后改输入框内容,再手动点发送。
YAK
方式 3:从历史记录接着上次的工作
1.欢迎页或引导第一步的 「最近打开」 里点一条记录。
2.若记录里已有审计类型,会直接进入 第三步确认。
3.想换类型:点 「上一步」 回到第二步修改。
END
更新记录
Yakit v1.4.7-0703
-
右键菜单部分选项折叠,点击执行默认选项
-
移除AI插件选项,所有右键插件在“插件扩展”展示
-
优化history表单展示逻辑
-
补充优化部分英文翻译
-
MITM内置规则支持开关配置
-
修复附近数据包查看功能
-
修复时间筛选回显问题
-
修复插件图片评论异常问题
-
修复网站树异常问题
-
WebFuzzer流量新增tag支持筛选
-
二进制展示方式可通过History-配置和Webfuzzer配置进行控制
-
二进制弹框组件增加复制和导出
-
启动页面增加引擎版本切换
Memfit v1.0.2-0703
-
自由会话增加子agent执行
-
工具调用增加调用目的展示
-
任务详情增加浏览器进程展示和管理
-
优化任务详情展示UI
-
Ai输出的代码狂不展示行号和小地图,方便展示更多内容
-
登录账号可分配Apikey
IRify v1.2.3-0703
- AI代码审计增加SKILL分析
Yaklang 1.4.8-beta1
-
修复 MITM 透明代理 TLS 握手卡住问题
-
HTTPFlow/WebFuzzer 流量标记、分片编码与导出增强
-
MITM 请求支持按需关闭内置 TrafficGuard 扫描
-
修复 HTTPFlow 网站树被最新扫描 Host 覆盖
-
修复 AI 引擎 Aborted/连接失败状态不返回错误
-
AI ReAct 最大迭代改为软中断,失败信息更完整
-
AI Plan 支持直接规划路径与 DAG 校验
-
AI 工具调用 reason/status 与子 Agent 流式展示优化
-
Yaklang Code 模式自测、执行流程与错误处理优化
-
use_browser 优先使用 Yakit 配置的 Chrome 路径
-
修复信息收集 JS 静态流程逗号路径问题
-
Nuclei flow/internal matcher 支持,降低误报
YAK官方资源
Yak 语言官方教程:
https://yaklang.com/docs/intro/
Yakit 视频教程:
https://space.bilibili.com/437503777
Github下载地址:
https://github.com/yaklang/yakit
Yakit官网下载地址:
https://yaklang.com/
Yakit安装文档:
https://yaklang.com/products/download_and_install
Yakit使用文档:
https://yaklang.com/products/intro/
常见问题速查:
https://yaklang.com/products/FAQ
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Yak Project YAK YAK《IRify新功能上线:AI代码审计和 Skills 安全扫描》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论