DeepAudit:一个基于 Multi-Agent 的代码安全审计工具
前几天,我们团队的开源项目 DeepAudit 突破了 1000 Star。
这个项目能获得这么多关注,要感谢社区的支持。从最初一个简单的 LLM API 调用 Demo,到现在的 Multi-Agent 版本,每一次迭代都离不开大家的反馈。
为了回馈社区,我们决定将 V3.0.0 版本完整开源。
功能演示
先看一下新版本的效果:
界面预览
Agent 审计入口
首页快速进入 Multi-Agent 深度审计
|
审计流日志  实时查看 Agent 思考与执行过程 |
智能仪表盘  一眼掌握项目安全态势 |
|
即时分析  粘贴代码或上传文件,即刻获得结果 |
项目管理  支持 GitHub/GitLab 导入,多项目协同管理 |
专业报告
支持导出 PDF / Markdown / JSON 格式(图中为快速模式报告)
项目概述
DeepAudit 是一个基于 Multi-Agent 协作架构的代码安全审计平台。它不是传统的静态扫描工具,而是模拟安全专家的思维模式,通过多个智能体(Orchestrator、Recon、Analysis、Verification)的自主协作,实现代码的深度理解、漏洞挖掘和自动化沙箱 PoC 验证。
传统 SAST 工具存在三个主要问题:
- 误报率高:缺乏语义理解,产生大量误报
- 业务逻辑盲点:无法理解跨文件调用和复杂逻辑
- 缺乏验证手段:无法确认漏洞是否真实可利用
DeepAudit 的工作流程是:导入项目 → 识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 输出审计报告。
核心理念:让 AI 像黑客一样攻击,像专家一样防御。
系统架构
DeepAudit 采用微服务架构,核心由 Multi-Agent 引擎驱动。
审计工作流
| 步骤 | 阶段 | 负责 Agent | 主要动作 |
|---|---|---|---|
| 1 | 策略规划 | Orchestrator | 接收审计任务,分析项目类型,制定审计计划 |
| 2 | 信息收集 | Recon Agent | 扫描项目结构,识别框架和库,提取攻击面 |
| 3 | 漏洞挖掘 | Analysis Agent | 结合 RAG 知识库与 AST 分析,深度审查代码 |
| 4 | PoC 验证 | Verification Agent | 编写 PoC 脚本,在 Docker 沙箱中执行验证 |
| 5 | 报告生成 | Orchestrator | 汇总发现,剔除误报,生成最终报告 |
快速开始
使用 Docker 一键部署:
# 1. 准备配置文件
cp backend/env.example backend/.env
# 2. 构建沙箱镜像(首次运行必须)
cd docker/sandbox && chmod +x build.sh && ./build.sh && cd ../..
# 3. 启动服务
docker compose up -d
启动前需要在 backend/.env 中配置 LLM API Key。
发展路线
- ✅ v3.0:Multi-Agent 协作架构(当前版本)
- ⬜ 支持更多漏洞验证 PoC 模板
- ⬜ 支持更多编程语言
- ⬜ 自动修复:Agent 直接提交 PR 修复漏洞
- ⬜ 增量 PR 审计:持续跟踪变更,集成 CI/CD 流程
- ⬜ 优化 RAG:支持自定义知识库
- ⬜ 优化 Agent:支持自定义 Agent
项目链接
GitHub – lintsinghua/DeepAudit
开源的代码审计智能体平台,支持项目级/文件级/片段级审计,通过多智能体协作实现深度漏洞挖掘和自动化 PoC 验证。支持 10+ LLM、自定义规则集、PDF 报告导出,支持 Ollama 私有部署。
写在最后
作为小团队维护的项目,肯定还有很多不足。欢迎大家在评论区留言或去 GitHub 提 Issue,不管是 Bug 反馈、功能建议还是批评意见。
如果觉得这个项目有用,欢迎给个 Star,这对我们是很大的鼓励。