腾讯云在6月5日举行的2026腾讯云AI产业应用大会上,正式推出了一款名为CodeBuddy Security的代码安全产品。该产品旨在应对当前AI技术发展背景下,代码漏洞激增以及传统审计方法面临瓶颈的挑战。
AI赋能代码审计:机遇与挑战并存
今年以来,人工智能在漏洞挖掘领域展现出惊人的能力,例如有大型模型公司在一个AI网络安全项目中,首月就成功挖掘出超过10000个高危漏洞,并且人工复审的有效率超过90%。大模型的强大语义理解能力,能够发现传统静态分析工具(SAST)难以触及的深层逻辑漏洞。然而,直接将大模型应用于企业级代码扫描,其效果却并不尽如人意。腾讯云云鼎实验室的对比测试显示,将海量代码一次性输入模型,容易稀释模型注意力,导致成本高昂且漏报率反而上升。此外,同一代码仓库多次扫描结果波动性大,难以满足对稳定性和可靠性要求极高的发布流水线需求。更严峻的问题在于,AI发现漏洞的速度(例如3分钟)与安全人员确认漏洞所需的时间(例如3天)之间存在巨大差距,并未有效减轻人工审查的压力。
CodeBuddy Security:双引擎协同,实现漏洞挖掘与验证的闭环
为了解决AI在代码漏洞挖掘中面临的实际问题,CodeBuddy Security采用了“双引擎协同+工程化约束”的解决方案。它集成了腾讯云云鼎实验室自主研发的AI深度审计引擎与静态分析工具Xcheck。其中,AI深度审计引擎以CodeBuddy为基础,专注于解决SAST工具难以检测的跨模块内存安全缺陷、协议状态机问题以及复杂的业务逻辑漏洞。而Xcheck则具备私有化部署能力,能够保证源码不出网,并能快速、准确地筛查已知特征漏洞。两套引擎独立并行扫描,最后合并结果并进行去重处理,形成一个高效的漏洞发现与验证流程。
精细化扫描策略与严格的验证机制
在扫描策略上,CodeBuddy Security首先会从代码库内部以及历史提交记录中识别出高风险模块。AI引擎则采用渐进式覆盖的方式,每次仅处理一个模块及其相关的热点代码,从而避免了因处理海量代码而分散注意力的问题。在漏洞验证环节,系统引入了独立的二次校验机制,从零开始重新验证漏洞代码的真实存在性和触发路径的可行性,有效过滤了单次分析中可能出现的“自我确信”的误报。最终,在隔离的沙箱环境中,系统会搭建目标执行环境,由AI引擎自动生成并执行概念验证(PoC),确保安全人员获得的是经过PoC确证的漏洞,而非待排查的疑似漏洞。此外,AI确认的漏洞分析路径还会被自动转化为Xcheck的检测规则,用于后续的静态引擎直接分析,避免了重复计算资源的消耗。
目前,CodeBuddy Security已在众多主流开源基础设施、深度学习框架及底层系统模块中得到充分验证。该产品已向NVIDIA、Google、Meta、Apache、Mozilla、OISF等知名企业和开源社区提交了多个有效漏洞报告,并协助完成了修复,获得了官方的确认和致谢。同时,该方案已逐步整合进腾讯内部的发布流水线,为业务上线前提供了一道强有力的安全保障。CodeBuddy Security目前已面向企业开放试用,旨在为企业提供更高效的代码安全审计解决方案。
CodeBuddy Security通过融合AI的深度洞察力和传统静态分析的精准效率,显著提升了代码安全审计的自动化水平和准确性,尤其在应对复杂逻辑漏洞和降低误报率方面展现出显著优势,对于企业级应用而言,其上手门槛适中,主要通过代码扫描生成报告,输出形式为结构化的漏洞信息及PoC,极具实用价值。