游乐游手机版
首页/AI热点日报/热点详情

腾讯CodeBuddy Security用AI Agent实现高效代码审计

类型:热点整理2026-06-06
2026年6月5日,腾讯云在AI产业应用大会上释放出一个关键信号——代码安全产品CodeBuddy Security正式面世。简单来说,这款产品将腾讯云云鼎实验室自研的AI深度审计引擎,与经典静态分析工具Xcheck进行了深度融合,目标非常明确:应对AI时代漏洞数量激增、传统代码审计触及能力天花板这

2026年6月5日,腾讯云在AI产业应用大会上释放出一个关键信号——代码安全产品CodeBuddy Security正式面世。简单来说,这款产品将腾讯云云鼎实验室自研的AI深度审计引擎,与经典静态分析工具Xcheck进行了深度融合,目标非常明确:应对AI时代漏洞数量激增、传统代码审计触及能力天花板这一严峻挑战。

image.png

AI能力大幅跃升,但利用AI挖掘漏洞仍面临多重障碍

今年以来,AI在漏洞挖掘领域的进步确实令人瞩目。例如,某大模型公司发现了一个隐藏27年的“老古董”漏洞;该公司发起的AI网络安全项目,首月便挖出超过1万个高危漏洞,人工复审的真阳性率超过90%。凭借强大的语义推理能力,大模型确实能够发现传统静态分析(SAST)难以触及的深层逻辑漏洞。然而,直接使用大模型进行企业级代码扫描,实际效果远不如预期。腾讯云云鼎实验室的对比测试暴露了三道障碍:第一,将全部代码喂给模型,海量无关代码会稀释注意力,导致成本飙升、漏报率反而上升;第二,同一个代码仓库跑10次扫描,检出结果波动剧烈,根本无法融入对稳定性有严格要求的发布流水线;第三,也是最关键的一点——“AI找洞3分钟,安全人员确认3天”,人工审查负担实际上并未减轻。

腾讯自研AI深度审计引擎融合Xcheck,打造漏洞挖掘与验证闭环

针对上述问题,CodeBuddy Security的解决方案可以概括为:“双引擎协同+工程化约束”。具体而言,腾讯云云鼎实验室自研的AI深度审计引擎以CodeBuddy为基础,专攻SAST难以追踪的跨模块内存安全缺陷、协议状态机问题以及业务逻辑漏洞;而Xcheck支持私有化部署、源代码不出网,在已知特征漏洞的筛查上速度极快且结果确定。两路引擎并行独立扫描,结果合并去重,实现优势互补。

在扫描策略上,系统首先定位代码库内部和历史提交中的高风险模块,AI引擎每次只处理一个模块及其关联热点,通过多轮渐进式覆盖,避免注意力被稀释。验证环节引入独立的二次校验机制——从零开始重新判断漏洞代码是否真实存在、触发路径是否可行,从而滤除单次分析中的“自我确信”幻觉。最后一道关卡:在隔离沙箱中搭建目标环境,由AI引擎编写PoC并实际执行。安全人员最终拿到的是附带PoC的确证漏洞,而非待排查的疑似发现。更值得关注的是,AI确认的漏洞路径会自动沉淀为Xcheck检测规则,后续由静态引擎直接分析,不再重复消耗算力。

image.png

目前,CodeBuddy Security已在大量主流开源基础设施、深度学习框架和底层系统模块中获得验证,陆续向NVIDIA、Google、Meta、Apache、Mozilla、OISF等企业及社区提交了多个有效漏洞并协助完成修复,获得官方确认与致谢。同时,该方案已逐步接入腾讯内部发布流水线,在代码上线前帮助业务规避安全风险。

目前,CodeBuddy Security已面向企业开放试用,为代码安全审计提供更高效的解决方案。

来源:https://www.aibase.com/zh/news/28698

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。