AuditLuma - AI代码审计系统(智能体)

已于 2025-05-09 16:13:54 修改
阅读量1.2k 收藏 8
点赞数 34
CC 4.0 BY-SA版权
文章标签: 人工智能
于 2025-05-09 16:13:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_strive/article/details/147831029

AuditLuma - AI代码审计系统(智能体) 🔍

AuditLuma是一个智能代码审计系统,它利用多个AI代理和先进的技术,包括多代理合作协议(MCP)和Self-RAG(检索增强生成),为代码库提供全面的安全分析。

项目地址

AuditLuma

演示视频

AuditLuma – 高级代码审计AI系统智能体演示视频

报告页面展示

在这里插入图片描述
在这里插入图片描述

✨ 特性

  • 🤖 多代理架构 - 针对不同审计任务的专门代理
  • 🔄 MCP(多代理合作协议) - 增强代理之间的协调与合作
  • 🔍 Self-RAG技术 - 提高上下文理解和知识检索能力
  • 🛡️ 综合安全分析 - 全面检测漏洞并提出有效修复建议
  • 📊 可视化功能 - 生成依赖关系图和详细安全报告
  • 🌐 多LLM厂商支持 - 支持OpenAI、DeepSeek、MoonShot、通义千问等多家厂商
  • 🔄 自动厂商检测 - 根据模型名称自动识别并配置正确的厂商API
  • 异步并行处理 - 使用异步并发技术提高性能,加快分析速度

📋 目录

🚀 安装

克隆仓库并安装依赖:

git clone https://github.com/Vistaminc/AuditLuma.git
cd AuditLuma
pip install -r requirements.txt

可选依赖

FAISS向量检索库

默认情况下,AuditLuma会使用一个简单的内置向量存储实现。如果需要处理大型代码库,建议安装FAISS以提高性能:

# CPU版本
pip install faiss-cpu

# GPU版本(支持CUDA)
pip install faiss-gpu

安装FAISS后,系统将自动检测并使用它进行向量存储和检索,显著提高分析大型项目时的性能。

🛠 使用

基本用法:

python main.py -d ./goalfile -o ./reports

命令行参数

参数说明默认值
-d, --directory目标项目目录./goalfile
-o, --output报告输出目录./reports
-w, --workers并行工作线程数配置中的max_batch_size
-f, --format报告格式(html/pdf/json)配置中的report_format
--no-mcp禁用多智能体协作协议默认启用
--no-self-rag禁用Self-RAG检索默认启用
--no-deps跳过依赖分析默认不跳过
--no-remediation跳过生成修复建议默认不跳过
--verbose启用详细日志记录默认禁用

⚙️ 配置

通过编辑config/config.yaml文件配置系统。主要配置项包括:

模型规范格式

AuditLuma支持使用统一的模型规范格式 model@provider 来指定模型和提供商:

deepseek-chat@deepseek  # 指定使用DeepSeek提供商的deepseek-chat模型
gpt-4-turbo@openai      # 指定使用OpenAI提供商的gpt-4-turbo模型
qwen-turbo@qwen         # 指定使用通义千问提供商的qwen-turbo模型

如果不指定提供商(不使用@符号),系统将自动根据模型名称推断提供商。

配置文件示例

# 默认模型配置
default_models:
  code_analysis: "deepseek-chat@deepseek"   # 代码分析模型
  security_audit: "gpt-4-turbo@openai"      # 安全审计模型
  remediation: "deepseek-chat@deepseek"     # 修复建议模型
  summarization: "qwen-turbo@qwen"          # 报告总结模型

# Self-RAG配置
self_rag:
  enabled: true
  embedding_model: "text-embedding-3-small@openai"  # 嵌入模型

# 多智能体配置
mcp:
  enabled: true
  agents:
    - name: "orchestrator"
      type: "coordinator"
      model: "deepseek-chat@deepseek"  # 编排智能体使用的模型
    - name: "security_analyst"
      type: "analyst"
      model: "gpt-4-turbo@openai"      # 安全分析智能体使用的模型

多厂商支持

AuditLuma支持多家LLM厂商,并能根据模型名称自动检测厂商:

模型前缀厂商
gpt-OpenAI
deepseek-DeepSeek
moonshot-硅基流动
qwen-通义千问
glm-chatglm智谱AI
baichuan百川

💻 支持语言

AuditLuma支持分析以下编程语言:

主要语言(包括排名前10)

  • Python (.py)
  • JavaScript (.js, .jsx)
  • TypeScript (.ts, .tsx)
  • Java (.java)
  • C# (.cs)
  • C++ (.cpp, .cc, .hpp)
  • C (.c, .h)
  • Go (.go)
  • Ruby (.rb)
  • PHP (.php)
  • Lua (.lua)

其他支持的语言

  • Rust (.rs)
  • Swift (.swift)
  • Kotlin (.kt)
  • Scala (.scala)
  • Dart (.dart)
  • Bash (.sh, .bash)
  • PowerShell (.ps1, .psm1)

标记和配置语言

  • HTML (.html, .htm)
  • CSS (.css)
  • JSON (.json)
  • XML (.xml)
  • YAML (.yml, .yaml)
  • SQL (.sql)

🏛 架构

  1. Agent Orchestrator - 协调工作流中的所有代理
  2. 代码分析代理 - 分析代码结构并提取依赖关系
  3. 安全分析代理 - 识别安全漏洞
  4. 修复建议代理 - 生成针对性漏洞修复方案
  5. 可视化组件 - 生成直观的报告和依赖关系图

📊 报告格式

AuditLuma支持以下报告格式:

  • 📋 HTML报告 - 包含漏洞详情、统计图表和交互式可视化
  • 📄 PDF报告 - 适合打印和分享的格式
  • 🔄 JSON报告 - 适合进一步处理和集成的机器可读格式

💬 贡献

欢迎贡献代码和建议!请遵循以下步骤:

  1. Fork 仓库
  2. 创建特性分支 (git checkout -b feature/amazing-feature)
  3. 提交更改 (git commit -m 'Add some amazing feature')
  4. 推送到分支 (git push origin feature/amazing-feature)
  5. 创建Pull Request

📜 许可证

MIT

Built with ❤️ by AuditLuma Team
星熠寻光
关注
AI 检测与防范大前端应用的安全漏洞:从代码审计到攻击拦截
物物而不物于物,念念而不念于念
07-04 1071
AI技术在大前端安全领域的应用显著提升了漏洞检测能力。研究表明,AI可降低34%的漏检率,将准确率提升至92%以上。核心技术包括:1)基于AST和机器学习的静态代码分析引擎,通过LSTM模型识别XSS等漏洞;2)动态行为分析系统,使用TensorFlow.js实时检测攻击行为。实践案例显示,AI可有效防范OWASP Top 10风险,如通过文本分类模型识别XSS攻击特征,重写DOM方法实现实时拦截;对SQL注入则采用查询模式分析双重检测机制。这些技术将安全防护从被动防御转向主动拦截。
全球首个安全代码审计AI - CodeArgus
weixin_46292561的博客
07-15 2144
全球首个安全代码审计AI - CodeArgus
借助AI进行代码审计
manok的专栏
01-16 2459
最近做代码审计,由于代码量较大,对于一些缺陷涉及到较长的代码片段或复杂的代码时,我会借助AI工具进行分析和确认,的确加快了代码审计的速度。
AI生成代码安全审计:从AST逆向到对抗样本生成
2501_91980039的博客
06-04 1569
传统的静态扫描工具(如SonarQube)难以覆盖AI模型的上下文语义逻辑,亟需结合程序分析与AI对抗技术进行深度审计。本文将从AST逆向工程切入,深入探讨如何通过对抗样本检测AI生成代码的脆弱性。AST(Abstract Syntax Tree)将代码转化为树形结构,剥离语法细节保留逻辑骨架,是分析控制流、数据流的核心基础。随着Codex、Copilot等AI代码生成工具的普及,开发效率显著提升的同时,也引入了新型安全风险:​。通过扰动输入提示(Prompt),诱导模型生成恶意代码,测试其安全边界。
AiCodeAudit-基于Ai大模型的自动代码审计工具
小云的博客
02-01 4445
AiCodeAudit是基于OpenAI大模型开发设计的自动化代码安全审计工具,利用图结构构建项目之间的依赖引用信息,相比于现有的基于RAG的代码审计设计方案,基于知识图谱的代码审计可以充分利用图的结构特性,使得大模型理解代码之间复杂的调用逻辑,从而提高代码审计的准确性。AI 大模型,如 OpenAI 的 Codex、Google 的 AlphaCode 等,通过海量代码和文本数据的训练,能够理解代码语义、识别代码模式,并生成高质量的代码。构建项目依赖树:基于调用关系,构建一个表示项目依赖关系的树状模型。
【免费下载】 AI Code Reviewer:智能代码审查,提升开发效率
gitblog_00339的博客
09-22 1465
AI Code Reviewer:智能代码审查,提升开发效率 项目介绍 AI Code Reviewer 是一款基于 GitHub Action 的智能代码审查工具,它利用 OpenAI 的 GPT-4 API 为你的 Pull Request 提供智能反馈和改进建议。这款工具不仅能够显著提升代码质量,还能通过自动化代码审查过程,节省开发者的时间和精力。 项目技术分析 AI Code Review...
AI驱动的代码审计变革:基于大语言模型的漏洞模式识别架构解析
2501_91980039的博客
06-04 743
​:基于LLM的代码审计不是对传统SAST的替代,而是通过神经符号系统(Neural-Symbolic System)实现语义理解能力的维度跃迁。该架构已在Github开源项目CodeAuditX中实现核心模块。
ssquant-ai-AI人工智能资源
06-21
在本部分中,我们将深入探讨"ssquant-ai-AI人工智能资源"这一主题,详细分析其关键组成部分、潜在应用、及可能对AI行业产生影响的因素。 首先,从文件标题"ssquant-ai-AI人工智能资源"来看,我们能推断出这是一个...
人工智能--人工智能AI课程代码及数据.zip
03-15
人工智能学习总结成果,希望可以帮到大家,有疑问欢迎随时沟通~ 人工智能学习总结成果,希望可以帮到大家,有疑问欢迎随时沟通~ 人工智能学习总结成果,希望可以帮到大家,有疑问欢迎随时沟通~ 人工智能学习总结...
LF-AI-STREAM-AI人工智能资源
06-24
根据提供的文件信息,我们可以推测LF-AI-STREAM-AI人工智能资源是一套基于GB28181标准的AI系统资源包。GB28181是中国国家标准,全称为《安全防范视频监控联网系统信息传输、交换、控制技术要求》,该标准主要规定了...
U3W-AI-AI人工智能资源
最新发布
07-02
资源包的名称为“U3W-AI-AI人工智能资源”,这表明这些资源可能与某个特定项目或框架有关,而项目或框架可能是“U3W”或与其紧密相关。 描述中提到了“AIAIAIGCTokenJava+Vue”,这意味着这些文件可能与一个使用...
2025 AI代码安全助手推荐|灵脉SAST AI 4.0:基于大模型技术革新的代码安全智能助手
软件供应链安全选型指南
02-14 1021
每种编程语言和框架具有不同的语法、语义和结构特性,灵脉AI开发安全卫士4.0现已全面覆盖Java、C/C++、Python、PHP、Go、C#、JavaScript和Ruby等主流语言及其框架,支持跨语言、跨框架的缺陷检测,无论开发团队使用何种技术栈,均能根据语言特性调整分析方法,确保准确识别安全缺陷和质量缺陷。悬镜安全重磅发布灵脉AI开发安全卫士4.0,为用户提供与代码安全专家能力相当、智能好用的AI开发安全助手,真正实现安全左移、降低软件风险及缺陷修复成本,提升企业代码安全治理能力。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2851
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
AI代码生成工具本地化部署源码审计:从AST逆向到代码混淆防护
2501_91980039的博客
06-05 1430
在即将到来的AI编程时代,唯有将技术创新与安全防护深度融合,才能在智能化浪潮中既享受技术红利,又筑牢企业核心竞争力防线。​:基于格密码学的混淆方案,抗量子破解。​:利用AI对抗逆向分析。​:关键算法哈希上链存证。
ai审计_用于内部审计和风险管理的人工智能
weixin_26632369的博客
08-26 4344
ai审计 AUDITMAP.AI文本分析平台 (AUDITMAP.AI TEXT ANALYSIS PLATFORM) Table of Contents1. Abstract: Why AI for Internal Audit and Risk Management?2. Introduction3. Contemporary Internal Audit Challenges4. Audit...
Gerrit 代码审计系统实战
05-03
Gerrit是一种免费、开放源代码的代码审查软件、使用web界面,可以相互审阅彼此修改后的程序代码,决定是否能够进行提交代码、退回或者要求开发人员进行返工。同时它也可以做为一个版本控制系统来使用。 本课程首先讲解了Gerrit的基本概念和如何使用,然后以实战的方式讲解了和Jenkins的结合,并且用现如今jenkins的多分支管道的方式来进行了一个实战演示,让Jenkins能够根据构建结果来反馈到Gerrit服务器,并进行评分。但考虑到大多数公司又是使用Gitlab服务器进行代码管理,所以又和Gitlab服务器进行整合。做到和公司现有架构的整合基础上,实现了代码的备份。
DeepSeek代码审计技术解析:从模型革新到漏洞挖掘实战
不忘初心,护天下安全!
02-17 2415
该工具基于Zjackky师傅的CodeScan开发,通过对大多数不完整的代码以及依赖快速进行Sink点匹配,并且由AI进行审计精准定位,来帮助红队完成快速代码审计,目前工具支持的语言有PHP,Java,并且全平台通用。另外,针对提升代码质量方面,需要检测代码中的逻辑错误、冗余代码、未使用的变量和函数等,提升代码的可读性、可维护性和可扩展性,则需要针对软件工程、代码可信、算法等进行深入掌握,以便能发现并去除冗余代码,能使程序结构更清晰,降低维护成本。例如,通过仔细审查业务逻辑代码,可发现权限控制不当等问题。
Seay代码审计系统审计实战
永远是少年
12-27 1696
今天继续给大家介绍渗透测试相关知识,本文主要内容是Seay代码审计系统审计实战。 一、Seay代码审计系统简介 二、Seay代码审计系统审计实战
C++实现的人工智能产生式系统实验代码解析
它强调了该实验代码与人工智能和产生式系统的关系,同时也指出了它是在C++语言的上下文中实现的。而“教育心理学”可能是对内容的一种解释,即这些实验代码也可以被教育心理学领域中的研究人员或教师所使用,以帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值