在前天,团队的项目在短短一两个月内,突破了1k + Star🌟
说实话,项目获得这么多认可和关注,得益于朋友们一直以来的热情支持和反馈。让项目不断迭代优化,从单纯一个LLM API调用mvp demo,成长到今天的Multi-Agent版本。
为了感谢回馈有需要和一直关注本项目的朋友,也为了项目和团队能够得到更多的成长,团队决定再将 V3.0.0 新版本向大家开源
废话不多说,先上个图给大伙看看新版本的功能
📸 界面预览
🤖 Agent 审计入口
首页快速进入 Multi-Agent 深度审计
|
📋 审计流日志 实时查看 Agent 思考与执行过程 |
🎛️ 智能仪表盘 一眼掌握项目安全态势 |
|
⚡ 即时分析
|
🗂️ 项目管理 GitHub/GitLab 导入,多项目协同管理 |
⚡ 项目概述
DeepAudit 是一个基于 Multi-Agent 协作架构的下一代代码安全审计平台。它不仅仅是一个静态扫描工具,而是模拟安全专家的思维模式,通过多个智能体(Orchestrator, Recon, Analysis, Verification)的自主协作,实现对代码的深度理解、漏洞挖掘和 自动化沙箱 PoC 验证。
我们致力于解决传统 SAST 工具的三大痛点:
-
误报率高 — 缺乏语义理解,大量误报消耗人力
-
业务逻辑盲点 — 无法理解跨文件调用和复杂逻辑
-
缺乏验证手段 — 不知道漏洞是否真实可利用
用户只需导入项目,DeepAudit 便全自动开始工作:识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告,最终输出一份专业审计报告。
核心理念: 让 AI 像黑客一样攻击,像专家一样防御。
🏗️ 系统架构
整体架构图
DeepAudit 采用微服务架构,核心由 Multi-Agent 引擎驱动。
审计工作流
| 步骤 | 阶段 | 负责 Agent | 主要动作 |
|---|---|---|---|
| 1 | 策略规划 | Orchestrator | 接收审计任务,分析项目类型,制定审计计划,下发任务给子 Agent |
| 2 | 信息收集 | Recon Agent | 扫描项目结构,识别框架/库/API,提取攻击面(Entry Points) |
| 3 | 漏洞挖掘 | Analysis Agent | 结合 RAG 知识库与 AST 分析,深度审查代码,发现潜在漏洞 |
| 4 | PoC 验证 | Verification Agent | (关键) 编写 PoC 脚本,在 Docker 沙箱中执行。如失败则自我修正重试 |
| 5 | 报告生成 | Orchestrator | 汇总所有发现,剔除被验证为误报的漏洞,生成最终报告 |
🚀 快速开始 (Docker一键复制粘贴部署)
1. 启动项目
复制一份 backend/env.example 为 backend/.env,并按需配置 LLM API Key。
然后执行以下命令一键启动:
# 1. 准备配置文件
cp backend/env.example backend/.env
# 2. 构建沙箱镜像 (首次运行必须)
cd docker/sandbox && chmod +x build.sh && ./build.sh && cd ../..
# 3. 启动服务
docker compose up -d
🦖 发展路线图
当然,我们也正在持续演进迭代,未来将支持更稳定更强大的 Agent 能力。
- v3.0: Multi-Agent 协作架构 (Current)
- 支持更多漏洞验证 PoC 模板
- 支持更多语言
- 自动修复 (Auto-Fix): Agent 直接提交 PR 修复漏洞
- 增量PR审计: 持续跟踪 PR 变更,智能分析漏洞,并集成CI/CD流程
- 优化RAG: 支持自定义知识库
- 优化Agent: 支持自定义Agent
项目链接: github.com/lintsinghua…
💬 最后再啰嗦两句
项目能走到今天,离不开各位建议和批评。这次开源 V3.0.0,也是希望把这套 Agent 自动审计的能力真正回馈给社区,也希望能够得到大家的反馈。
代码虽然经过了测试,但作为小团队维护的项目,肯定还有很多不足。不管是 Bug 反馈、功能建议,还是批评建议,或者觉得好用的话,都欢迎在评论区留言或者去 GitHub 提 Issue。
如果觉得这个项目对你有一点点帮助,麻烦动动发财的小手,给项目点个 Star 🌟,或者提提建议~这对我们团队是莫大的鼓励!!
