游乐游手机版
首页/AI热点日报/热点详情

腾讯发布CodeBuddy Security以AI Agent实现高效代码审计

类型:热点整理2026-06-06
腾讯云发布CodeBuddySecurity,融合自研人工智能深度审计引擎与静态工具Xcheck,双引擎协同进行动态风险识别、二次校验和概念验证,实现漏洞自动发现、验证与规则沉淀,已获国际厂商确认并嵌入内部流程,有效提升代码安全审计效率。

近日,在2026腾讯云AI产业应用大会上,腾讯云正式发布了一款全新的代码安全产品——CodeBuddy Security。该产品深度融合了腾讯云云鼎实验室自研的AI深度审计引擎与静态分析工具Xcheck,旨在有效应对当前AI时代漏洞数量激增,而传统代码审计手段在性能与精度上双双面临的严峻挑战。

AI安全能力突飞猛进,但利用AI进行漏洞挖掘仍面临多重现实困境

今年以来,AI技术在漏洞挖掘领域取得了显著突破。例如,某头部大模型厂商成功识别出一个潜伏长达27年的高危漏洞;在其主导的AI安全专项中,上线首月即发现超过1万个高风险漏洞,经人工复核后,真阳性率高达90%以上。这得益于大模型强大的语义理解与上下文推理能力,能够精准捕捉传统SAST工具长期难以发现的深层逻辑缺陷。

然而,理想与现实之间仍存在差距。若直接将大模型用于扫描企业级全量源代码,效果往往会大打折扣。腾讯云云鼎实验室的实测数据显示:全量代码输入会导致模型注意力被大量无关代码稀释,不仅推理成本显著上升,漏报率反而增加;对同一代码仓库重复扫描10次,结果波动剧烈,稳定性远无法满足CI/CD流水线对确定性的严苛要求。更棘手的是,“AI三分钟找到漏洞,安全工程师却需三天验证”,这并未减轻人工负担。

自研AI深度审计引擎携手Xcheck,打造“发现—验证—沉淀”全链路闭环

针对上述痛点,CodeBuddy Security提出了“双引擎协同 + 工程化治理”的解决方案。具体而言,以云鼎实验室自研的AI深度审计引擎作为智能核心,依托CodeBuddy技术底座,专攻跨模块内存安全问题、协议状态机异常及复杂业务逻辑漏洞;而Xcheck则专注于高效筛查已知模式漏洞,支持私有化部署,确保源码不出域,具备高确定性与低延迟优势。两者并行扫描,独立输出结果,最终融合去重,形成能力互补。

在扫描策略上,系统首先根据代码库结构及历史提交信息,动态识别高风险模块。AI引擎仅聚焦单个模块及其相关热点路径,通过多轮渐进式分析实现全域覆盖,有效避免注意力分散。在验证环节,系统引入独立的二次校验机制——从零开始重建漏洞上下文,严格复现触发路径,剔除AI单次推理中因“过度自信”产生的幻觉误报。最后,在隔离沙箱环境中构建真实运行状态,由AI引擎自动生成PoC并执行验证。最终交付至安全团队手中的,是附带可复现PoC的确凿漏洞,而非一堆需人工排查的疑似线索。更重要的是,所有经AI确认的有效漏洞路径,均会被自动提炼为Xcheck的新规则,未来同类问题静态引擎即可直接识别,实现了AI能力向规则资产的持续沉淀。

目前,CodeBuddy Security已在众多主流开源基础设施、深度学习框架及底层系统组件中完成大规模验证。团队已向NVIDIA、Google、Meta、Apache、Mozilla、OISF等国际知名科技企业与开源社区提交多个高质量漏洞报告,并获得官方确认与致谢。与此同时,该方案已逐步嵌入腾讯内部发布流程,在代码上线前提供前置安全拦截能力,切实降低了业务系统的暴露风险。

现阶段,CodeBuddy Security已面向企业用户开放试用通道,为企业级代码安全审计提供了更智能、更稳定、更高效率的全新选择。

来源:https://www.php.cn/faq/2601663.html?uid=1246273

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。