工具推荐 | 一款免费的AI代码审计扫描器 - 新鲜讯息

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统以及盈利等目的，一切后果由操作者自行承担！！！

工具介绍

该工具基于Zjackky/CodeScan开发，通过对大多数不完整的代码以及依赖快速进行Sink点匹配，并且由AI进行审计精准定位，来帮助红队完成快速代码审计，目前工具支持的语言有PHP，Java，并且全平台通用。

更多介绍：https://www.bilibili.com/video/BV1bnKpeJEUC/

使用

在程序当前目录增加config.yaml

config.yaml内容

api:  url: "https://api.siliconflow.cn/v1/chat/completions"  keys:    - "sk-bgrrpkmbbrksvrobipjynezdpnsfuezsmcgwebsslzycwdfh"    # https://cloud.siliconflow.cn/i/PE5EFD4U    # API池,可以增加多个api，闲鱼买到很多api.settings:  # 每次调用ai间隔时间，防止频繁或者封号  sleep_seconds: 3model:  #  模型名称  name: "Qwen/QwQ-32B-Preview"#  这里%s不要动，防止输入错误prompt:  text: "请分析以下代码是否存在安全问题：n文件: %sn行号: %dn内容:n%sn当前行：%s，请简明扼要，如果觉得大概率没有漏洞直接回答"大概率没有漏洞"七个汉字。如果有，严格按照一下格式输出：n漏洞类型：n危害等级：n判断理由：n payload：，注意这里的冒号为中文冒号,每行前无空格"

命令行用法

Usage of ./AICodeScan:  -L string        审计语言  -d string        要扫描的目录  -h string        使用帮助  -lb string        行黑名单  -m string        过滤的字符串  -pb string        路径黑名单  -r string        RCE规则  -u string        文件上传规则Example:AICodeScan -L java -d ./netAICodeScan -L php -d ./netAICodeScan -d ./net -m "CheckSession.jsp"