首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >AI驱动代码安全:腾讯云CodeBuddy Security在漏洞挖掘与验证闭环上的实践

AI驱动代码安全:腾讯云CodeBuddy Security在漏洞挖掘与验证闭环上的实践

原创
作者头像
IT前沿资讯站
发布2026-06-22 15:03:04
发布2026-06-22 15:03:04
2330
举报

传统安全分析工具难以应对AI时代的漏洞攻防

网络攻防进入“GPT时刻”,AI已实现从漏洞发现到复杂利用链攻击的闭环。根据CISA KEV数据库数据,漏洞从披露到被利用的时间缩短至20小时。防守方面临四大挑战:攻击效率呈指数级提升、攻击门槛大幅降低、基础软件漏洞集中爆发导致企业年均防御成本增加530万美元、传统SAST工具无法识别逻辑漏洞和复杂数据流。

腾讯云推出Hybrid Code Security混合安全方案

CodeBuddy Security采用Xcheck静态分析引擎与AI审计引擎并联的架构。方案核心是通过威胁建模驱动的扫描策略,首先分析项目架构、语言特征和安全域,再结合Git历史提取已知漏洞模式,指导AI将算力精准投向高风险模块。方案包含对抗性审查机制,通过零共享上下文的新Agent尝试证伪初步发现,降低误报。验证环节采用静态分析+沙箱动态验证相结合,AI生成PoC在Docker沙箱内执行,形成证据链。

在真实开源项目中验证漏洞挖掘能力

方案已挖掘多个知名开源项目0day漏洞,演示了三种典型漏洞的发现过程:

LiteLLM未授权SQL注入漏洞:在仅占代码量0.01%的异常回退路径中,发现ORM安全路径与原始SQL拼接路径对同一输入处理不一致。工具通过攻击面节点分析识别此不对称路径,经三轮红队反驳验证后确认。

Suricata未授权拒绝服务漏洞:通过双源命中机制结合历史漏洞信号与协议解析器结构特征,定位DCERPC事务对象生命周期中因设计缺陷导致的内存无限增长问题。

React反序列化拒绝服务漏洞:利用Threat-Intel历史分析发现刚修复过反序列化DoS的模块存在遗漏,检查所有值类型解析路径后发现BigInt路径无长度限制,导致CPU阻塞。

实际应用实现漏洞召回率与准确率双提升

在已知漏洞测试集上,漏洞召回率提升超过80%;在真实业务代码上,漏洞准确率提升超过70%。方案通过AI发现转化为Xcheck规则的反哺机制,实现自我增强。成本控制方面,平均仓库扫描消耗13M Token,缓存命中率超过70%,平衡了扫描效果与成本。

技术方案获权威行业实践验证

腾讯云CodeBuddy Security已应用于nVIDIA、Firefox、TensorFlow等顶级开源项目,挖掘的漏洞获得厂商确认。方案设计吸收了Anthropic Claude Code Security的自我证伪机制和OpenAI Codex Security的端到端闭环理念,形成独特的混合安全架构,为企业提供从漏洞发现到修复验证的完整解决方案。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 传统安全分析工具难以应对AI时代的漏洞攻防
  • 腾讯云推出Hybrid Code Security混合安全方案
  • 在真实开源项目中验证漏洞挖掘能力
  • 实际应用实现漏洞召回率与准确率双提升
  • 技术方案获权威行业实践验证
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档