项目地址：

https://github.com/lintsinghua/DeepAudit

## 界面预览

### 🤖 Agent 审计入口

![图片](/media/202605/3ceed7f4cba249f4904e0ca8c84f2f203776.png)

首页快速进入 Multi-Agent 深度审计

![图片](/media/202605/26ddf4306d7b4035a20355dec3dd8e442683.png)

### 📊 专业报告

![图片](/media/202605/2b3241720ef44bea8cc68798f6881fbe7925.png)

_一键导出 PDF / Markdown / JSON_（图中为快速模式，非Agent模式报告）

* * *

## 🏆 CVE 漏洞发现

### **DeepAudit 已成功发现并获得 49 个 CVE 编号 和 6 个 GHSA 安全公告🦞**

### **涉及17个知名开源项目**

#### OpenClaw🦞 漏洞挖掘成果

DeepAudit 内测版本对 OpenClaw 项目进行了深度安全审计，目前已发现 **6 个安全漏洞**，均已被官方确认并发布安全公告（GHSA）。漏洞类型覆盖命令注入、签名验证绕过、远程代码执行、凭证泄露、资源耗尽及敏感信息泄露，其中包含多个 High 级别漏洞。更多漏洞仍在持续挖掘中。

## 项目概述

**DeepAudit** 是一个基于 **Multi-Agent 协作架构**的下一代代码安全审计平台。它不仅仅是一个静态扫描工具，而是模拟安全专家的思维模式，通过多个智能体（**Orchestrator**, **Recon**, **Analysis**, **Verification**）的自主协作，实现对代码的深度理解、漏洞挖掘和 **自动化沙箱 PoC 验证**。

我们致力于解决传统 SAST 工具的三大痛点：

*   **误报率高**
    
     — 缺乏语义理解，大量误报消耗人力
    
*   **业务逻辑盲点**
    
     — 无法理解跨文件调用和复杂逻辑
    
*   **缺乏验证手段**
    
     — 不知道漏洞是否真实可利用

用户只需导入项目，DeepAudit 便全自动开始工作：识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告，最终输出一份专业审计报告。

> **核心理念**: 让 AI 像黑客一样攻击，像专家一样防御。

## 发展路线图

我们正在持续演进，未来将支持更多语言和更强大的 Agent 能力。

*    基础静态分析，集成 Semgrep
    
*    引入 RAG 知识库，支持 Docker 安全沙箱
    
*    **Multi-Agent 协作架构** (Current)
    
*    支持更真实的模拟服务环境，进行更真实漏洞验证流程
    
*    沙箱从function\_call优化集成为稳定MCP服务
    
*    **自动修复 (Auto-Fix)**: Agent 直接提交 PR 修复漏洞
    
*    **增量PR审计**: 持续跟踪 PR 变更，智能分析漏洞，并集成CI/CD流程
    
*    **优化RAG**: 支持自定义知识库

## ⚠️ 重要安全声明

### 法律合规声明

1.  禁止**任何未经授权的漏洞测试、渗透测试或安全评估**
    
2.  本项目仅供网络空间安全学术研究、教学和学习使用
    
3.  严禁将本项目用于任何非法目的或未经授权的安全测试

### 漏洞上报责任

1.  发现任何安全漏洞时，请及时通过合法渠道上报
    
2.  严禁利用发现的漏洞进行非法活动
    
3.  遵守国家网络安全法律法规，维护网络空间安全

### 使用限制

*   仅限在授权环境下用于教育和研究目的
    
*   禁止用于对未授权系统进行安全测试
    
*   使用者需对自身行为承担全部法律责任

### 免责声明

作者不对任何因使用本项目而导致的直接或间接损失负责，使用者需对自身行为承担全部法律责任。

## 📖 详细安全政策

有关安装政策、免责声明、代码隐私、API使用安全和漏洞报告的详细信息，请参阅 DISCLAIMER.md 和 SECURITY.md 文件。

### 快速参考

*   **代码隐私警告**: 您的代码将被发送到所选择的LLM服务商服务器
*   **敏感代码处理: 使用本地模型处理敏感代码**
*   **合规要求: 遵守数据保护和隐私法律法规**
*   **漏洞报告: 发现安全问题请通过合法渠道上报**

AI代码审计Agent项目