【重磅】开源全平台轻量级AI代码审计工具

admin 2025年2月9日01:01:10评论56 views字数 1253阅读4分10秒阅读模式

前言

     本软件主要是减轻一些代码审计的工作量,其实以前我看到类似的程序,不过用起来多少都差点意思,主要有三点,一是不开源,使用上难免有些许别扭,反馈作者还需要等有些麻烦。二是效率不高,没有一个比较好的解决办法,这次主要是二开了一个sink点查找工具,以此为基础,让ai进行过滤,进一步减轻代码审计的工作量。三是无法全平台使用,总是被忽视的mac用户落泪。

工具概述

该工具基于Zjackky/CodeScan开发,通过对大多数不完整的代码以及依赖快速进行Sink点匹配,并且由AI进行审计精准定位,来帮助红队完成快速代码审计,目前工具支持的语言有PHP,Java。

编译

./build.sh#需要golang环境# 会生成所有版本在releases下

功能

在Zjackky/CodeScan基础上,增加ai审计。

sink点查找相关细节查看:https://github.com/xiaoqiuxx/CodeScan_public

使用

在程序当前目录增加config.yaml

config.yaml内容

api:#  api接口base urlurl:"https://api.siliconflow.cn/v1/chat/completions"#  密钥,最好参考api文档,以下是轨迹流动的apikey:"Bearer sk-key"settings:#  每次调用ai间隔时间,防止频繁或者封号sleep_seconds:3model:#  模型名称name:"deepseek-ai/DeepSeek-R1-Distill-Qwen-14B"#  这里%s不要动,防止输入错误prompt:text:"请分析以下代码是否存在安全问题:n文件: %sn行号: %dn内容:n%sn当前行:%s,请简明扼要,如果觉得大概率没有漏洞直接回答大概率没有漏洞七个汉字,如果有,严格按照一下格式输出:n漏洞类型:n危害等级:n判断理由:n可能的payload:"

下面是命令行用法

Usage of ./AICodeScan:  -L string        审计语言  -d string        要扫描的目录  -h string        使用帮助  -lb string        行黑名单  -m string        过滤的字符串  -pb string        路径黑名单  -r string        RCE规则  -u string        文件上传规则Example:    AICodeScan -L java -d ./net    AICodeScan -L php -d ./net    AICodeScan -d ./net -m "CheckSession.jsp"

效果图

【重磅】开源全平台轻量级AI代码审计工具

声明

禁止使用本工具从事任何违法行为,使用本工具造成的一切后果应由使用工具当事人承担。

鸣谢

xiaoqiuxx(github.com)

项目地址

https://github.com/Zacarx/AICodeScan

觉得可以的话点点star支持一下,感谢🙏。

原文始发于微信公众号(Urkc安全):【重磅】开源全平台轻量级AI代码审计工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月9日01:01:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【重磅】开源全平台轻量级AI代码审计工具https://cn-sec.com/archives/3715628.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息