DeepAudit，秒揪代码漏洞，实现随时随地远程审计！ cpolar 内网穿透实验室第713个成功挑战软件名称： De

在这里插入图片描述

软件名称：

DeepAudit（AI 代码审计工具） cpolar（内网穿透工具）

操作系统支持：

DeepAudit：Windows、macOS、Linux（Docker 部署适配全系统）
cpolar：Windows、macOS、Linux、树莓派、群晖 NAS

软件介绍：

DeepAudit：国内首个开源的代码漏洞挖掘多智能体系统，像给代码配了 “4 人安全小队”——Orchestrator（总指挥）定审计计划、Recon Agent（侦察兵）扫项目技术栈、Analysis Agent（分析师）挖漏洞、Verification Agent（验证者）沙箱验证漏洞真实性，AI 驱动秒级扫描，还能自动生成专业审计报告，新手也能秒上手。
cpolar：轻量级内网穿透 “神器”，不用折腾公网 IP、不用改路由器配置，一键把本地运行的 DeepAudit 映射到公网，不管是在家、公司还是咖啡厅，有网就能访问，还能固定域名，再也不用记随机地址。

在这里插入图片描述

DeepAudit 的出色功能

多智能体协同审计：不像传统工具只做表面扫描，DeepAudit 的 4 个智能体分工协作，能跨方法、跨文件深度分析代码逻辑，比如注册功能调用校验方法时，会顺着逻辑查校验漏洞，漏检率几乎为 0；
双模式审计适配全场景：Agent 智能审计（深度挖漏洞，适合核心项目）+ 快速扫描（批量检测，适合大规模代码），慢工细活和速战速决都能满足；
多格式报告导出：审计完成后可导出 Markdown/JSON/HTML 格式报告，漏洞描述、代码位置、修复建议一目了然，分享给团队或客户都方便；
即时分析功能：不用导入全项目，粘贴代码片段就能快速检查，临时查可疑代码、学习安全编码规范都好用。

cpolar 的出色功能

免公网 IP 穿透：不用找运营商要公网 IP，不用配置端口映射，一键把本地 DeepAudit 暴露到公网；
固定二级子域名：免费版随机域名 24 小时换一次，付费版可固定子域名，记一个地址就能永久访问，不用频繁更新书签；
多协议支持：HTTP/HTTPS/TCP 协议都能穿透，不仅能穿透 DeepAudit，远程桌面、本地网站都能搞定；
全平台适配：Windows/macOS/Linux/ 树莓派都能装，不管你用什么电脑部署 DeepAudit，都能穿透。

在这里插入图片描述

实用场景

实用场景 1：中小团队跨地点代码审计

痛点：团队成员不在同一办公地点，本地部署的 DeepAudit 仅限公司内网访问，居家办公时没法协作审计，只能等回公司再弄，耽误项目进度；
爽点：用 cpolar 穿透 DeepAudit 后，所有人在任何地方，只要打开浏览器输入穿透地址，就能登录 DeepAudit 上传项目、启动审计，实时查看进度，不用来回传文件，跨城协作和坐一起办公没区别。

实用场景 2：独立开发者给客户交付审计报告

痛点：独立开发者本地审计客户项目后，只能导出报告发文件，客户想核对漏洞位置、看审计过程，没法直接访问工具；
爽点：用 cpolar 把 DeepAudit 穿透到公网，给客户开放访问权限，客户能自己登录工具看审计流程、核对漏洞，不用开发者一遍遍解释，专业度提升，客户信任感拉满。

实用场景 3：企业运维批量检测内部项目漏洞

痛点：企业内部有几十个 Java/Python 项目，人工审计耗时久，本地 DeepAudit 没法远程操作，运维人员只能待在机房办公；
爽点：DeepAudit 的快速扫描功能批量检测项目，再用 cpolar 穿透工具，运维人员在办公室、家里甚至出差途中，都能远程登录 DeepAudit 启动批量扫描，实时看检测结果，不用守在机房，效率翻倍。

在这里插入图片描述

cpolar 内网穿透技术带来的便利

打破地域限制，办公自由拉满：以前 DeepAudit “锁死” 在本地电脑 / 公司内网，只能在固定地点用；用 cpolar 穿透后，不管是在家沙发上、咖啡厅里，还是出差的酒店，只要能上网，就能打开浏览器访问 DeepAudit，想什么时候审计就什么时候审计，彻底摆脱 “工位绑定”。
团队协作成本骤降：不用搭建复杂的云服务器环境，不用花钱买公网 IP，cpolar 一键穿透就能让团队所有人访问同一套 DeepAudit，不用每个人本地部署一遍，节省环境配置时间，也能保证审计标准统一。
避免重复工作，效率翻倍：如果没有穿透，审计到一半离开工位，回来得重新操作；穿透后，不管在哪登录都是同一个审计环境，之前的项目、审计进度都在，不用重复上传代码、重复启动审计，省下来的时间能多审几个项目。
固定域名省心省力：cpolar 支持固定二级子域名，不用每天记新的随机地址，也不用频繁给团队 / 客户发新链接，一个地址用到老，书签、快捷方式都不用改，彻底告别 “今天地址又变了” 的烦恼。
多设备访问无压力：不管是用电脑、平板还是手机（适配移动端界面），只要能打开浏览器，就能访问穿透后的 DeepAudit，路上用手机看审计进度，到公司用电脑处理漏洞，无缝衔接。
低成本实现公网访问：不用租云服务器部署 DeepAudit，本地电脑就能跑，cpolar 免费版就能满足基础穿透需求，想固定域名也只要低成本升级，比买云服务器 + 公网 IP 划算多了。

在这里插入图片描述

总结

DeepAudit 就像给代码安全装了 “AI 火眼金睛”，把原本耗时耗力的人工审计变成了秒级、精准的智能操作，不管是深度挖漏洞还是批量扫代码，都能搞定；而 cpolar 则是给这个 “火眼金睛” 装上了 “远程翅膀”，打破内网限制，让 DeepAudit 从 “只能本地用的工具” 变成 “随时随地能访问的神器”。

两者组合，既解决了代码审计效率低、漏检率高的核心问题，又解决了本地工具无法远程访问的痛点，不管是中小团队、独立开发者还是企业运维，都能以极低的成本、极高的效率完成代码安全审计，既省心又专业，堪称代码安全审计的 “黄金搭档”。

低成本、省心、专业的黄金搭档的安装教程在下面！

1 DeepAudit是什么？

DeepAudit Logo

DeepAudit 是国内首个开源的代码漏洞挖掘多智能体系统，它基于 Multi-Agent 协作架构，通过四个智能体的自主协作，实现对代码的深度理解、漏洞挖掘和自动化沙箱 PoC 验证。用户只需导入项目，DeepAudit 便全自动开始工作：识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告，最终输出一份专业审计报告。

Orchestrator（总指挥）：接收审计任务，分析项目类型，制定审计计划，协调其他 Agent 工作
Recon Agent（侦察兵）：扫描项目结构，识别框架、库和 API，提取攻击面
Analysis Agent（分析师）：结合 RAG 知识库与 AST 分析，深度审查代码，发现潜在漏洞
Verification Agent（验证者）：编写 PoC 脚本，在 Docker 沙箱中执行，验证漏洞是否真实可利用

简单来说，DeepAudit 就像是一个 24 小时待命的安全专家团队，帮你把代码审计这件苦差事变得高效、精准、自动化。

2 Docker一键部署DeepAudit

本教程以 Windows 系统为例，演示如何在 Docker 环境中部署 DeepAudit。如果还没有安装Docker的小伙伴，可以查看这篇文章进行安装一下哦：www.cpolar.com/blog/docker…

首先，电脑按住 Win + R 键，打开运行窗口，输入 cmd 并回车，打开命令提示符。然后在命令提示符中输入以下命令，一键部署 DeepAudit：

curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml | docker compose -f - up -d

接着输入如下命令，查看 DeepAudit 容器是否启动成功：

docker ps

如果看到类似上面的输出，说明 DeepAudit 已经成功启动了！这里包含了 4 个容器：

admin-frontend-1：前端服务，运行在 3000 端口
admin-backend-1：后端 API 服务，运行在 8000 端口
admin-redis-1：Redis 数据库，用于缓存和队列
admin-db-1：PostgreSQL 数据库，用于存储审计数据

现在，打开浏览器，访问如下地址：

http://localhost:3000

可以看到，DeepAudit 的登录页面已经成功显示出来了！

3 配置DeepAudit

3.1 LLM模型配置

注册一个账号，并且登录DeepAudit，即可进入主界面。

接着来到系统管理，在系统配置项可以看到如下页面：

接着选择LLM提供商，这里以通义千问为例，因为阿里云百炼如果您是新用户，享有每个模型百万Tokens,可以在如下页面查看免费额度剩余量和模型Code等，记得开启免费额度用完即停即可，页面地址：

https://bailian.console.aliyun.com/?tab=model#/model-usage/free-quota?modelType=Text

由于我这里的qwen-plus模型额度用完了，演示将使用qwen-max来进行演示，在选择LLM提供商中选择通义千问，然后模型名称填写qwen-max模型：

接着获取阿里云百炼的API Key，点击页面左下角的密钥管理菜单：

进入到密钥管理后，点击创建按钮进行创建即可，创建后即可复制API key密钥：

将复制的密钥填写到API key中，点击测试按钮，出现连接成功即代表配置成功：

连接成功后，点击底部的保存所有更改按钮即可！

3.2 嵌入模型配置

前面已经配置好了LLM模型，接着切换到嵌入模型页面，然后在模型提供商选择Qwen，模型选择预设v4版本的模型即可，填写前面复制下来的API key密钥，点击测试：

接着点击底部的保存配置和保存所有更改按钮即可，这样就配置完成啦！

4 使用DeepAudit进行AI代码审查

配置好 LLM 模型后，我们就可以开始使用 DeepAudit 进行代码审查了。DeepAudit 提供了两种主要的使用方式：项目管理和即时分析。

4.1 创建项目

首先，在左侧导航栏点击"项目管理"，进入项目列表页面。如果是第一次使用，页面会提示"未初始化项目"，点击"新建项目"按钮。

在弹出的对话框中，你可以选择两种导入方式：

方式一：Git 仓库导入

仓库类型：支持 GitHub、GitLab、等
仓库地址：填写你的 Git 仓库 URL
默认分支：通常为 main 或 master
技术栈：选择项目使用的编程语言（JavaScript、TypeScript、Python、Java、Go 等）

方式二：上传源码

直接上传 ZIP 压缩包
适合本地项目或私有仓库

填写完项目信息后，点击"执行创建"，DeepAudit 会自动拉取代码并初始化项目。

这里以上传源码为例，用一个几年前写的一个Java的SpringBoot项目为例，填写完成相关信息，上传源码进行执行创建：

创建完成后，即可在项目管理页面查看，创建好的项目：

4.2 Agent 智能审计

项目创建完成后，点击项目下方的"审计"按钮，进入审计任务页面。这里有两种审计模式：

Agent 智能审计

LLM 驱动的多 Agent 协同深度审计
支持智能漏洞挖掘与验证
适合需要深度分析的场景

快速扫描

传统规则引擎驱动的快速代码扫描
适合大规模批量检测
速度更快，但深度略浅

这里以Agent 审计模式举例，选中要审计的项目，然后选择审计模式，点击下方的启动Agent 审计按钮：

启动后，即可看到项目正在进行索引和嵌入，然后进行编排审计流程：

在侧面的AGENT TREE中可以看到 Multi-Agent 协作流程：

Orchestrator 分析项目，制定审计策略
Recon Agent 扫描项目结构，识别技术栈和攻击面
Analysis Agent 深度分析代码，发现潜在漏洞
Verification Agent 在沙箱中验证漏洞真实性

在审计过程中，你可以实时查看审计进度、已分析的文件数、发现的问题数量等信息。

可以看到，AGENT审计模式，会进行跨方法联合审计。如上图就是在注册方法中有调用相关校验方法，AGENT审计会根据逻辑关系，去查看校验方法是否存在问题。

4.3 查看审计报告

审计完成后，底部会有输出成功的日志提示，也可以点击右上角EXPORT按钮进行导出报告：

点击EXPORT按钮后，可以将审计报告导出为 Markdown 或 JSON 以及HTML格式，方便分享和存档:

如下为导出为HTML格式的报告预览：

查看一下提到的高危漏洞等相关问题：

可以看到给出了漏洞描述，还有关键的代码位置，以及修复的建议，还是很不错的！

4.4 即时分析

除了项目管理，DeepAudit 还提供了"即时分析"功能，适合快速检查代码片段。

点击左侧导航栏的"即时分析"，进入即时分析页面：

选择编程语言：从下拉菜单选择代码的语言（JavaScript、Python、Java 等）
输入代码：直接粘贴代码或点击"上传文件"按钮
选择提示词模板：可以使用默认的"默认代码审计"模板
开始分析：点击"开始分析"按钮

几秒钟后，DeepAudit 就会返回分析结果，包括：

发现的问题列表
每个问题的严重程度
详细的修复建议
代码片段高亮显示

即时分析非常适合：

快速检查可疑代码片段
学习安全编码规范
代码审查前的预检查

通过以上步骤，你已经掌握了 DeepAudit 的基本使用方法。无论是完整项目的深度审计，还是代码片段的快速检查，DeepAudit 都能帮你高效地发现安全问题，让代码审计变得简单、快速、精准！

5 下载安装cpolar

通过前面的步骤，你已经成功在本地部署了 DeepAudit，并且能够通过 http://localhost:3000 访问它的界面。但问题来了：你在家里的台式机上部署了 DeepAudit，在公司想访问怎么办？或者你在公司电脑上启动了审计，回家想查看进度怎么办？

本地部署的 DeepAudit 就像一个"孤岛"，只有部署它的那台电脑能访问，其他设备想用都进不来。远程办公受限、多设备无法访问……这些问题让 DeepAudit 的价值大打折扣。

这时候，cpolar 内网穿透 就派上用场了！它是一款轻量级隧道转发工具，能够将本地运行的服务安全地暴露至公网，实现无需公网 IP、无需复杂路由配置，就能随时随地访问你的 DeepAudit。

接下来，我将带你一步步安装并配置 cpolar，让 DeepAudit 真正实现"随时随地，想审就审"！

5.1 什么是cpolar?

cpolar 是一款内网穿透工具，可以将你在局域网内运行的服务（如本地 Web 服务器、SSH、远程桌面等）通过一条安全加密的中间隧道映射至公网，让外部设备无需配置路由器即可访问。
广泛支持 Windows、macOS、Linux、树莓派、群晖 NAS 等平台，并提供一键安装脚本方便部署。

5.2 下载cpolar

打开cpolar官网的下载页面，点击立即下载 64-bit按钮,下载cpoalr的安装包:

下来下来是一个压缩包,解压后执行目录种的应用程序,一路默认安装即可,安装完成后,打开cmd窗口输入如下命令确认安装:

cpolar version

出现如上版本即代表安装成功!

5.3 注册及登录cpolar web ui管理界面

官网链接：www.cpolar.com/

访问cpolar官网，点击免费注册按钮，进行账号注册

进入到如下的注册页面进行账号注册：

注册完成后,在浏览器中输入如下地址访问 web ui管理界面:

http://127.0.0.1:9200

输入刚才注册好的cpolar账号登录即可进入后台页面:

6 穿透DeepAudit实现公网访问

点击左侧菜单栏的隧道管理，展开进入隧道列表页面，页面下默认会有 2 个隧道：

remoteDesktop隧道，指向3389端口，tcp协议
website隧道，指向8080端口，http协议（http协议默认会生成2个公网地址，一个是http，另一个https，免去配置ssl证书的繁琐步骤）

点击编辑website的隧道，修改成我们DeepAudit需要的信息：

接着，点击左侧菜单的状态菜单，接着点击在线隧道列表菜单按钮，可以看到有2个deepaudit的隧道，一个为http协议,另一个为https协议:

注意：每个用户创建的隧道显示的公网地址都不一样！

接下来在浏览器中访问deepaudit隧道生成的公网地址（http和https皆可），这里以https为例：

可以看到成功访问到DeepAudit的登录界面啦！

7 固定二级子域名

通过前面的配置，我们已经成功实现了DeepAudit的远程访问，但免费随机域名方案的局限性也逐渐显现：每24小时左右自动更换域名地址，意味着你需要频繁更新书签、重新分享链接，甚至可能因为忘记更新而无法访问。固定域名方案正是为了解决这些痛点而生，能够让你拥有一个永久不变的专属地址。

好啦，接下来开始固定保留二级子域名教程！

首先，进入官网的预留页面: