近日,在2026腾讯云AI产业应用大会上,腾讯云正式发布了一款全新的代码安全产品——CodeBuddy Security。该产品深度融合了腾讯云云鼎实验室自研的AI深度审计引擎与静态分析工具Xcheck,旨在有效应对当前AI时代漏洞数量激增,而传统代码审计手段在性能与精度上双双面临的严峻挑战。

AI安全能力突飞猛进,但利用AI进行漏洞挖掘仍面临多重现实困境
今年以来,AI技术在漏洞挖掘领域取得了显著突破。例如,某头部大模型厂商成功识别出一个潜伏长达27年的高危漏洞;在其主导的AI安全专项中,上线首月即发现超过1万个高风险漏洞,经人工复核后,真阳性率高达90%以上。这得益于大模型强大的语义理解与上下文推理能力,能够精准捕捉传统SAST工具长期难以发现的深层逻辑缺陷。
然而,理想与现实之间仍存在差距。若直接将大模型用于扫描企业级全量源代码,效果往往会大打折扣。腾讯云云鼎实验室的实测数据显示:全量代码输入会导致模型注意力被大量无关代码稀释,不仅推理成本显著上升,漏报率反而增加;对同一代码仓库重复扫描10次,结果波动剧烈,稳定性远无法满足CI/CD流水线对确定性的严苛要求。更棘手的是,“AI三分钟找到漏洞,安全工程师却需三天验证”,这并未减轻人工负担。
自研AI深度审计引擎携手Xcheck,打造“发现—验证—沉淀”全链路闭环
针对上述痛点,CodeBuddy Security提出了“双引擎协同 + 工程化治理”的解决方案。具体而言,以云鼎实验室自研的AI深度审计引擎作为智能核心,依托CodeBuddy技术底座,专攻跨模块内存安全问题、协议状态机异常及复杂业务逻辑漏洞;而Xcheck则专注于高效筛查已知模式漏洞,支持私有化部署,确保源码不出域,具备高确定性与低延迟优势。两者并行扫描,独立输出结果,最终融合去重,形成能力互补。
在扫描策略上,系统首先根据代码库结构及历史提交信息,动态识别高风险模块。AI引擎仅聚焦单个模块及其相关热点路径,通过多轮渐进式分析实现全域覆盖,有效避免注意力分散。在验证环节,系统引入独立的二次校验机制——从零开始重建漏洞上下文,严格复现触发路径,剔除AI单次推理中因“过度自信”产生的幻觉误报。最后,在隔离沙箱环境中构建真实运行状态,由AI引擎自动生成PoC并执行验证。最终交付至安全团队手中的,是附带可复现PoC的确凿漏洞,而非一堆需人工排查的疑似线索。更重要的是,所有经AI确认的有效漏洞路径,均会被自动提炼为Xcheck的新规则,未来同类问题静态引擎即可直接识别,实现了AI能力向规则资产的持续沉淀。

目前,CodeBuddy Security已在众多主流开源基础设施、深度学习框架及底层系统组件中完成大规模验证。团队已向NVIDIA、Google、Meta、Apache、Mozilla、OISF等国际知名科技企业与开源社区提交多个高质量漏洞报告,并获得官方确认与致谢。与此同时,该方案已逐步嵌入腾讯内部发布流程,在代码上线前提供前置安全拦截能力,切实降低了业务系统的暴露风险。
现阶段,CodeBuddy Security已面向企业用户开放试用通道,为企业级代码安全审计提供了更智能、更稳定、更高效率的全新选择。
