6月5日,在2026腾讯云AI产业应用大会上,腾讯云发布代码安全产品CodeBuddy Security,该产品将腾讯云云鼎实验室自研的AI深度审计引擎与静态分析工具Xcheck结合起来,解决AI时代漏洞激增、传统代码审计遭遇天花板的痛点。数智化转型网www.szhzxw.cn
一、AI能力飙升,但利用AI挖漏洞仍需跨越几道坎
今年以来,AI在漏洞挖掘领域屡屡突破,某大模型公司找到了一个藏了27年的漏洞,在其发起的AI网络安全项目中首月就挖出超10000个高危漏洞,人工复审真阳性率超过90%。大模型的语义推理能力善于发现传统静态分析(SAST)看不到的深层逻辑漏洞,但直接拿大模型做企业级代码扫描,效果并不理想。腾讯云云鼎实验室对比测试发现,将代码全量喂给模型,海量无关代码稀释了注意力,成本高且漏报反而飙升;同一个仓库跑10次,检出结果波动大,无法进入对稳定性有硬要求的发布流水线;更关键的是,”AI找洞3分钟,安全人员确认3天”,人工审查负担并没有降下来。数智化转型网www.szhzxw.cn
二、腾讯自研AI深度审计引擎结合Xcheck,构建漏洞挖掘与验证闭环
针对于AI挖漏洞的存在的问题,CodeBuddy Security的解法是”双引擎协同+工程化约束”。将腾讯云云鼎实验室自研的AI深度审计引擎与静态分析工具Xcheck结合起来,AI深度审计引擎以CodeBuddy为底座,专攻SAST难以追踪的跨模块内存安全缺陷、协议状态机问题及业务逻辑漏洞;Xcheck支持私有化部署、源码不出网,在已知特征漏洞的筛查上速度快、结果确定。两路并行独立扫描,结果合并去重。
在扫描策略上,系统先从代码库内部和历史Commit中定位高风险模块,AI引擎每次只处理一个模块及其关联热点,多轮渐进覆盖,避免注意力稀释。在验证环节,系统引入独立二次校验,从零重新校验漏洞代码是否真实存在、触发路径是否可行,过滤单次分析中的”自我确信”幻觉;最后一关在隔离沙箱中搭建目标环境,由AI引擎编写PoC并实际执行,安全人员拿到的是带PoC的确证漏洞,而非待排查的疑似发现。AI确认的漏洞路径还会自动沉淀为Xcheck检测规则,下次由静态引擎直接分析,不再重复消耗算力。
目前,CodeBuddy Security已在大量主流开源基础设施、深度学习框架和底层系统模块中得到验证,陆续向NVIDIA、Google、Meta、Apache、Mozilla、OISF等企业及社区提报多个有效漏洞并协助完成修复,并获得官方确认与致谢。同时,该方案已逐步接入腾讯内部发布流水线,在代码上线前为业务规避安全风险。数智化转型网www.szhzxw.cn
目前,CodeBuddy Security已面向企业开放试用,为企业代码安全审计提供更高效的解决方案。
若您对人工智能感兴趣,可添加数智化转型网小助手思思微信加入人工智能交流群。若您在寻找人工智能供应商,可联系数智化转型网小助手思思(17757154048,微信同号)
若您为人工智能服务商,可添加数智化转型网小助手Nora,加入人工智能行业交流群。
若您为人工智能创业者,可添加数智化转型网社群主理人Carina,加入人工智能创业交流群。
声明:本文来自数智化转型网,版权归作者所有。文章内容仅代表作者独立观点,不代表数智化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。
本文由数智化转型网(www.szhzxw.cn)转载,编辑/翻译:数智化转型网(Professionalism Achieves Leadership 专业造就领导者)白龙
