【github榜2】国内首个开源漏洞挖掘多智能体平台,小白也能随便挖漏洞,支持自动验证漏洞真假PoC代码及攻击步骤生成
- 内容介绍
- 文章标签
- 相关推荐
在前天,团队的项目在短短一两个月内,突破了1k + Star
说实话,项目获得这么多认可和关注,得益于 L 站社区和佬们一直以来的热情支持和反馈。让项目不断迭代优化,从单纯一个LLM API调用mvp demo,成长到今天的Multi-Agent版本。
本人和团队对L站社区,和站里各位佬们深深鞠一躬 .
为了感谢回馈有需要和一直关注本项目的佬们,也为了项目和团队能够得到更多的成长,团队决定再将 V3.0.0 新版本向大家开源
废话不多说,先上个图给大伙看看新版本的功能
界面预览(新版本界面已优化UI,且支持主题切换)
Agent 审计入口
image1920×1039 136 KB
首页快速进入 Multi-Agent 深度审计
|
审计流日志 image1920×1039 255 KB 实时查看 Agent 思考与执行过程 |
智能仪表盘 image1920×1039 233 KB 一眼掌握项目安全态势 |
|
即时分析 image2880×1558 265 KB 粘贴代码 / 上传文件,秒出结果 |
项目管理 image2880×1558 423 KB GitHub/GitLab 导入,多项目协同管理 |
专业报告
image1515×1071 331 KB
一键导出 PDF / Markdown / JSON
(图中为快速模式,非Agent模式报告)
查看Agent审计完整报告示例
快速开始 (一行命令解决)
使用预构建的 Docker 镜像,无需克隆代码,一行命令即可启动:
curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml | docker compose -f - up -d
新增国内加速一键部署开箱即用(作者亲测非常无敌之快)
# 国内加速版 - 使用南京大学 GHCR 镜像站
curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d
启动成功! 访问 http://localhost:3000 开始体验
项目概述
DeepAudit 是一个基于 Multi-Agent 协作架构的下一代代码安全审计平台。它不仅仅是一个静态扫描工具,而是模拟安全专家的思维模式,通过多个智能体(Orchestrator, Recon, Analysis, Verification)的自主协作,实现对代码的深度理解、漏洞挖掘和 自动化沙箱 PoC 验证。
我们致力于解决传统 SAST 工具的三大痛点:
-
误报率高 — 缺乏语义理解,大量误报消耗人力
-
业务逻辑盲点 — 无法理解跨文件调用和复杂逻辑
-
缺乏验证手段 — 不知道漏洞是否真实可利用
用户只需导入项目,DeepAudit 便全自动开始工作:识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告,最终输出一份专业审计报告。
核心理念: 让 AI 像黑客一样攻击,像专家一样防御。
系统架构
整体架构图
DeepAudit 采用微服务架构,核心由 Multi-Agent 引擎驱动。
image1601×1682 497 KB
审计工作流
| 步骤 | 阶段 | 负责 Agent | 主要动作 |
|---|---|---|---|
| 1 | 策略规划 | Orchestrator | 接收审计任务,分析项目类型,制定审计计划,下发任务给子 Agent |
| 2 | 信息收集 | Recon Agent | 扫描项目结构,识别框架/库/API,提取攻击面(Entry Points) |
| 3 | 漏洞挖掘 | Analysis Agent | 结合 RAG 知识库与 AST 分析,深度审查代码,发现潜在漏洞 |
| 4 | PoC 验证 | Verification Agent | (关键) 编写 PoC 脚本,在 Docker 沙箱中执行。如失败则自我修正重试 |
| 5 | 报告生成 | Orchestrator | 汇总所有发现,剔除被验证为误报的漏洞,生成最终报告 |
发展路线图
我们正在持续演进,未来将支持更多语言和更强大的 Agent 能力。
- 基础静态分析,集成 Semgrep
- 引入 RAG 知识库,支持 Docker 安全沙箱
- Multi-Agent 协作架构 (Current)
- 支持更真实的模拟服务环境,进行更真实漏洞验证流程
- 沙箱从function_call优化集成为稳定MCP服务
- 自动修复 (Auto-Fix): Agent 直接提交 PR 修复漏洞
- 增量PR审计: 持续跟踪 PR 变更,智能分析漏洞,并集成CI/CD流程
- 优化RAG: 支持自定义知识库
项目链接:
GitHub - lintsinghua/DeepAudit: DeepAudit:人人拥有的 AI...
DeepAudit:人人拥有的 AI 黑客战队,让漏洞挖掘触手可及。国内首个开源代码漏洞挖掘多智能体系统。小白一键部署运行,自主协作审计 + 自动化沙箱 PoC 验证。支持 Ollama 私有部署 ,一键生成报告。让安全不再昂贵,让审计不再复杂。
最后再啰嗦两句
项目能走到今天,离不开 L 站各位佬们的建议和批评。这次开源 V3.0.0,也是希望把这套 Agent 自动审计的能力真正回馈给社区,也希望能够得到大家的反馈。
代码虽然经过了测试,但作为小团队维护的项目,肯定还有很多不足。不管是 Bug 反馈、功能建议,还是批评建议,或者觉得好用的话,都欢迎佬们在评论区留言或者去 GitHub 提 Issue。
如果觉得这个项目对你有一点点帮助,麻烦动动发财的小手,给项目点个 Star ,或者提提建议~这对我们团队是莫大的鼓励!!
真诚感谢L站这个温暖的大家庭
## ⚠️ 重要安全声明
### 法律合规声明
1. 禁止**任何未经授权的漏洞测试、渗透测试或安全评估**
2. 本项目仅供网络空间安全学术研究、教学和学习使用
3. 严禁将本项目用于任何非法目的或未经授权的安全测试
### 漏洞上报责任
1. 发现任何安全漏洞时,请及时通过合法渠道上报
2. 严禁利用发现的漏洞进行非法活动
3. 遵守国家网络安全法律法规,维护网络空间安全
### 使用限制
- 仅限在授权环境下用于教育和研究目的
- 禁止用于对未授权系统进行安全测试
- 使用者需对自身行为承担全部法律责任
### 免责声明
作者不对任何因使用本项目而导致的直接或间接损失负责,使用者需对自身行为承担全部法律责任。
---
## 📖 详细安全政策
有关安装政策、免责声明、代码隐私、API使用安全和漏洞报告的详细信息,请参阅 [DISCLAIMER.md]([DISCLAIMER.md](https://github.com/lintsinghua/DeepAudit/blob/v3.0.0/DISCLAIMER.md)) 和 [SECURITY.md]([SECURITY.md](https://github.com/lintsinghua/DeepAudit?tab=security-ov-file)) 文件。
网友解答:
--【壹】--:
轻喷,佬
--【贰】--:
真大佬,学习,项目好帅,深色界面好酷
--【叁】--:
这个界面调了好久,截图浏览还是比较模糊,自己部署看效果会更好的
--【肆】--:
感觉可以写论文了
--【伍】--:
虽然目前用不到,但感觉很有潜力啊
--【陆】--:
啊大佬,之前在某号看到这个项目。关注这个项目很久了。
用你的开源项目魔改,改了很多屎山技术债 和越权漏洞
太牛了,现在终于可以用上新的版本了
--【柒】--:
等我什么时候从本地都写不明白的学生进化到写开放到公网上的项目就可以用到了
--【捌】--:
好的哈哈在部署研究了
--【玖】--:
真是真大佬,学习一下。
--【拾】--:
哈哈,说不定能用上
--【拾壹】--:
佬太强啦
--【拾贰】--:
佬的结构图是ai做的吗?能不能分享一下prompt?
已经star啦
--【拾叁】--:
互相学习,哈哈
--【拾肆】--:
是的,喜欢这种风格,感谢大佬
--【拾伍】--:
有机会记得使用反馈
--【拾陆】--:
在写了哈哈
--【拾柒】--:
诶诶诶,我可没这意思啊
小学生该打打双引号,原谅我标题党了一下
--【拾捌】--:
很可以,小学生先试试
--【拾玖】--:
学习一下
在前天,团队的项目在短短一两个月内,突破了1k + Star
说实话,项目获得这么多认可和关注,得益于 L 站社区和佬们一直以来的热情支持和反馈。让项目不断迭代优化,从单纯一个LLM API调用mvp demo,成长到今天的Multi-Agent版本。
本人和团队对L站社区,和站里各位佬们深深鞠一躬 .
为了感谢回馈有需要和一直关注本项目的佬们,也为了项目和团队能够得到更多的成长,团队决定再将 V3.0.0 新版本向大家开源
废话不多说,先上个图给大伙看看新版本的功能
界面预览(新版本界面已优化UI,且支持主题切换)
Agent 审计入口
image1920×1039 136 KB
首页快速进入 Multi-Agent 深度审计
|
审计流日志 image1920×1039 255 KB 实时查看 Agent 思考与执行过程 |
智能仪表盘 image1920×1039 233 KB 一眼掌握项目安全态势 |
|
即时分析 image2880×1558 265 KB 粘贴代码 / 上传文件,秒出结果 |
项目管理 image2880×1558 423 KB GitHub/GitLab 导入,多项目协同管理 |
专业报告
image1515×1071 331 KB
一键导出 PDF / Markdown / JSON
(图中为快速模式,非Agent模式报告)
查看Agent审计完整报告示例
快速开始 (一行命令解决)
使用预构建的 Docker 镜像,无需克隆代码,一行命令即可启动:
curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml | docker compose -f - up -d
新增国内加速一键部署开箱即用(作者亲测非常无敌之快)
# 国内加速版 - 使用南京大学 GHCR 镜像站
curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d
启动成功! 访问 http://localhost:3000 开始体验
项目概述
DeepAudit 是一个基于 Multi-Agent 协作架构的下一代代码安全审计平台。它不仅仅是一个静态扫描工具,而是模拟安全专家的思维模式,通过多个智能体(Orchestrator, Recon, Analysis, Verification)的自主协作,实现对代码的深度理解、漏洞挖掘和 自动化沙箱 PoC 验证。
我们致力于解决传统 SAST 工具的三大痛点:
-
误报率高 — 缺乏语义理解,大量误报消耗人力
-
业务逻辑盲点 — 无法理解跨文件调用和复杂逻辑
-
缺乏验证手段 — 不知道漏洞是否真实可利用
用户只需导入项目,DeepAudit 便全自动开始工作:识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告,最终输出一份专业审计报告。
核心理念: 让 AI 像黑客一样攻击,像专家一样防御。
系统架构
整体架构图
DeepAudit 采用微服务架构,核心由 Multi-Agent 引擎驱动。
image1601×1682 497 KB
审计工作流
| 步骤 | 阶段 | 负责 Agent | 主要动作 |
|---|---|---|---|
| 1 | 策略规划 | Orchestrator | 接收审计任务,分析项目类型,制定审计计划,下发任务给子 Agent |
| 2 | 信息收集 | Recon Agent | 扫描项目结构,识别框架/库/API,提取攻击面(Entry Points) |
| 3 | 漏洞挖掘 | Analysis Agent | 结合 RAG 知识库与 AST 分析,深度审查代码,发现潜在漏洞 |
| 4 | PoC 验证 | Verification Agent | (关键) 编写 PoC 脚本,在 Docker 沙箱中执行。如失败则自我修正重试 |
| 5 | 报告生成 | Orchestrator | 汇总所有发现,剔除被验证为误报的漏洞,生成最终报告 |
发展路线图
我们正在持续演进,未来将支持更多语言和更强大的 Agent 能力。
- 基础静态分析,集成 Semgrep
- 引入 RAG 知识库,支持 Docker 安全沙箱
- Multi-Agent 协作架构 (Current)
- 支持更真实的模拟服务环境,进行更真实漏洞验证流程
- 沙箱从function_call优化集成为稳定MCP服务
- 自动修复 (Auto-Fix): Agent 直接提交 PR 修复漏洞
- 增量PR审计: 持续跟踪 PR 变更,智能分析漏洞,并集成CI/CD流程
- 优化RAG: 支持自定义知识库
项目链接:
GitHub - lintsinghua/DeepAudit: DeepAudit:人人拥有的 AI...
DeepAudit:人人拥有的 AI 黑客战队,让漏洞挖掘触手可及。国内首个开源代码漏洞挖掘多智能体系统。小白一键部署运行,自主协作审计 + 自动化沙箱 PoC 验证。支持 Ollama 私有部署 ,一键生成报告。让安全不再昂贵,让审计不再复杂。
最后再啰嗦两句
项目能走到今天,离不开 L 站各位佬们的建议和批评。这次开源 V3.0.0,也是希望把这套 Agent 自动审计的能力真正回馈给社区,也希望能够得到大家的反馈。
代码虽然经过了测试,但作为小团队维护的项目,肯定还有很多不足。不管是 Bug 反馈、功能建议,还是批评建议,或者觉得好用的话,都欢迎佬们在评论区留言或者去 GitHub 提 Issue。
如果觉得这个项目对你有一点点帮助,麻烦动动发财的小手,给项目点个 Star ,或者提提建议~这对我们团队是莫大的鼓励!!
真诚感谢L站这个温暖的大家庭
## ⚠️ 重要安全声明
### 法律合规声明
1. 禁止**任何未经授权的漏洞测试、渗透测试或安全评估**
2. 本项目仅供网络空间安全学术研究、教学和学习使用
3. 严禁将本项目用于任何非法目的或未经授权的安全测试
### 漏洞上报责任
1. 发现任何安全漏洞时,请及时通过合法渠道上报
2. 严禁利用发现的漏洞进行非法活动
3. 遵守国家网络安全法律法规,维护网络空间安全
### 使用限制
- 仅限在授权环境下用于教育和研究目的
- 禁止用于对未授权系统进行安全测试
- 使用者需对自身行为承担全部法律责任
### 免责声明
作者不对任何因使用本项目而导致的直接或间接损失负责,使用者需对自身行为承担全部法律责任。
---
## 📖 详细安全政策
有关安装政策、免责声明、代码隐私、API使用安全和漏洞报告的详细信息,请参阅 [DISCLAIMER.md]([DISCLAIMER.md](https://github.com/lintsinghua/DeepAudit/blob/v3.0.0/DISCLAIMER.md)) 和 [SECURITY.md]([SECURITY.md](https://github.com/lintsinghua/DeepAudit?tab=security-ov-file)) 文件。
网友解答:
--【壹】--:
轻喷,佬
--【贰】--:
真大佬,学习,项目好帅,深色界面好酷
--【叁】--:
这个界面调了好久,截图浏览还是比较模糊,自己部署看效果会更好的
--【肆】--:
感觉可以写论文了
--【伍】--:
虽然目前用不到,但感觉很有潜力啊
--【陆】--:
啊大佬,之前在某号看到这个项目。关注这个项目很久了。
用你的开源项目魔改,改了很多屎山技术债 和越权漏洞
太牛了,现在终于可以用上新的版本了
--【柒】--:
等我什么时候从本地都写不明白的学生进化到写开放到公网上的项目就可以用到了
--【捌】--:
好的哈哈在部署研究了
--【玖】--:
真是真大佬,学习一下。
--【拾】--:
哈哈,说不定能用上
--【拾壹】--:
佬太强啦
--【拾贰】--:
佬的结构图是ai做的吗?能不能分享一下prompt?
已经star啦
--【拾叁】--:
互相学习,哈哈
--【拾肆】--:
是的,喜欢这种风格,感谢大佬
--【拾伍】--:
有机会记得使用反馈
--【拾陆】--:
在写了哈哈
--【拾柒】--:
诶诶诶,我可没这意思啊
小学生该打打双引号,原谅我标题党了一下
--【拾捌】--:
很可以,小学生先试试
--【拾玖】--:
学习一下