正文

没有技术含量的成为代码审计专家

admin
admin V管理员 /0 评论 /45 阅读
0316
此篇文章发布距今已超过6天,您需要注意文章的内容或图片是否可用!

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

01 关于Trae等AI编程工具

在AI代码审计前,请先了解下现在主流的AI Vibe Coding工具。
国内目前字节跳动的Trae分国内版和国际版,国内版能用国内的大模型(也有免费使用额度),国际版偏向国外大模型支持,现在已经更新支持了gpt-5.3-codex(会员订阅才能使用)
国外的opencode工具也有免费的模型MiniMax M2.5可以使用,但是这个模型评价不高不推荐
还有GPT官方的codex,需要自己接GPT官方的key才行,好处是什么模型都能用,包扩最新的gpt-5.4,而且它还能直接给你生成skill(因为自带了创建skill这个能力,比较强),然后套给其他AI编辑器
现在体验下来是gpt更聪明一点

02 然后做代码审计

这里只需要给出需要审计的代码,还有审计代码的skill就行
这里我们不需要选用特别的审计技能,你能让AI自己先生成一套完整的漏洞审计链路(不同编程语言不同漏洞点
这里演示用Trae来审计
在设置中配置技能
这里没有必要配置http_fuzzer工具,最多在MCP里面配置可以调用飞书来输出漏洞报告文档
审计的项目代码
https://github.com/bg5sbk/MiniCMS/releases/tag/v1.11

03 工作流

审计流程就是这么一回事,无需任何脑力活动即可
把项目代码丢给他,开始审计即可,无需切换trae solo模式,没有那种长上下文的需求,你也不是设计界面写代码什么的
审计完成source -> sink全流程
这个流程不需要特别的提示词,整个工作流的流程都是自动完成的
是不是很无脑简单

专业的国内网络安全AI社区平台推荐

https://www.wwlib.cn/

50免费积分兑换码:WUWEN_1u7CcAHUVEb1W9VlVs

兑换地址:https://www.wwlib.cn/index.php/gift

团队内部知识大陆链接如下,折扣优惠中~

永久帮会内部技术交流群

✅ 如果你刚刚入门、对挖洞有兴趣却无从下手;

✅ 如果你不想再被割裂的信息、过时的教材所困;

✅ 如果你想在真实环境中练手并与同行共同成长;

那么你一定不能错过「安全渗透感知大家族」。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网