【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线

admin 2025年2月5日23:21:07评论35 views字数 907阅读3分1秒阅读模式

前言

经过相当的一段时间开发和很多通宵的优化修改,内测,这个工具总算可以把1.0版本拿出来给大家了,同时非常感谢lingview师傅让开发得以顺利,zac(点点)师傅给出了idea,并参与到优化中,非常感谢

工具亮点

结合了污点分析+ast分析+AI分析(两轮不同提示词校验)验证并输出payload

拥有在线和离线两种模式 api调用和本地ollama调用

支持php和java的审计

以及看起来还不错的功能优化调教

工具截图

【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线
【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线
【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线

使用手册

左上角文件 打开文件将会导入文件夹并自动开始审计

【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线

在第三页的设置栏我们可以选择在线或者离线模式

在线模式的API key 和url我们比方使用deepseek https://platform.deepseek.com/api_keys 在开放平台创建key即可

【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线

离线模式

【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线

离线模式仅支持ollama 内部写的也是ollama的调用 模型名称是你的ollama list的模型

离线模式提示词可以修改 不过这会间接导致很多问题,包括但不限于 无法正常回显 误报率增加 等等问题 不过改好了的话将会使误报率大大降低 这个是我们提供的 提示词模版:

你是一个代码审计专家用来辅助我判断代码有没有安全漏洞,你的职责是判断我给你的漏洞有没有可控点,我只会给你代码你只需要回答,存在漏洞,不存在漏洞,以及无法判断,不需要解释!!!,不需要你给出修复 防止 等等建议只需要回答,存在漏洞,不存在漏洞,以及无法判断这几个选择 总之回答的 存在漏洞,不存在漏洞,以及无法判断 不需要解释是核心

离线模式我们不进行二次校验,并且不推荐和建议大家去进行大项目的离线审计,只建议单代码文件,或者较小体量进行审计,这完全是因为本地大模型GPU的局限性,此外,我们有完全离线模式就是不使用ai 纯污点分析用于快速检索排查

漏洞跳转到代码界面

【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线

点击漏洞即可跳转

这个搜索是文件内搜索

【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线

在左上角文件-->搜索是全局关键字搜索

【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线

获取方式

蓝奏云:https://wwcl.lanzn.com/icRyV2lkqflg

同时希望大家可以在群里反馈 让我更好的去优化这个工具

添加下方微信进工具交流群:

原文始发于微信公众号(星悦安全):【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月5日23:21:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【工具分享】基于DeepSeek AI的代码审计工具V1.0,强势上线https://cn-sec.com/archives/3700861.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息