腾讯发布CodeBuddy Security,用AI Agent实现更高效的代码审计
一句话看懂:腾讯云在2026年6月5日的AI工业应用大会上发布了代码安全产品CodeBuddy Security,通过自研AI深度审计引擎与静态分析工具Xcheck协同工作,解决AI时代漏洞激增和传统代码审计效率低下的痛点。该方案已在NVIDIA、Google、Meta等主流项目中验证,并确认了多个有效漏洞。
事件核心:发生了什么
在2026年腾讯云AI工业应用大会上,腾讯云正式推出代码安全产品CodeBuddy Security。该产品结合了腾讯云云鼎实验室自研的AI深度审计引擎和静态分析工具Xcheck。其核心思路是“双引擎协同+工程约束”,以解决直接使用大模型进行企业级代码扫描时面临的三大问题:全量代码注入导致注意力稀释、检测结果不稳定(同一仓库运行十次结果差异大)、以及“找漏洞3分钟,验证漏洞需3天”的低效闭环。
具体技术路径上,系统先识别高风险模块和热点区域,再由AI引擎分轮次处理,避免关注力分散。在验证阶段,引入独立二次验证,通过构建隔离沙箱环境、自动撰写并执行PoC(概念验证代码)来确认漏洞真实性和触发路径。确认后的漏洞路径会自动转化为Xcheck检测规则,后续可直接由静态引擎分析,无需重复消耗算力。目前,该产品已向NVIDIA、Google、Meta、Apache、Mozilla、OISF等公司和社区报告多个有效漏洞,并协助修复,获得了官方确认和致谢。CodeBuddy Security已逐步集成至腾讯内部发布流水线,并开放企业试用。
为什么重要
当前AI在漏洞发现领域虽已取得突破,如某大模型公司在一个月内发现超1万个高危漏洞,但直接使用大模型进行企业级扫描仍面临可靠性、稳定性和验证成本高等挑战。CodeBuddy Security的推出,展示了从“AI发现漏洞”到“AI完整验证并自动化修复建议”的工程化闭环能力,这在当前的代码审计行业属于重要的路径创新。它不仅降低了安全人员的验证负担,还通过将AI确认的漏洞路径沉淀为静态检测规则,实现了自我迭代。对于企业而言,这意味着从“人工主导+AI辅助”向“AI主导+人工确认”的审计模式转变成为可能,可能加速企业级SAST(静态应用安全测试)工具的智能化升级。
对用户/开发者/创作者的影响
对企业安全团队及开发者:CodeBuddy Security直接减少了安全人员在“手动验证可疑漏洞”环节的工作量。产品能够在隔离沙箱中完成漏洞确认并输出PoC,安全人员收到的从“待调查的风险提示”变为“已验证的有效漏洞及触发用例”。这意味着企业可以更高效地将代码安全嵌入DevOps流水线,降低发布前遗漏高危漏洞的风险。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
对开源及AI框架维护者:该工具已在众多主流开源基础设施和深度学习框架中验证,并贡献了有效漏洞。开源社区和底层系统维护者有望获得更高效的第三方安全审查支持,从而提升项目整体的安全韧性。
对行业竞争格局:目前CodeBuddy Security已开放企业试用。如果其“双引擎协同+AI自动验证”的模式被证实具有高准确率(如官方声称的经人工确认后正报率超过90%),将可能对传统SAST厂商以及单纯依靠大模型进行代码审计的初创公司形成竞争压力,推动行业从“基于规则的扫描”向“基于推理与验证的深度分析”演进。
值得关注的后续
- 产品落地稳定性:目前公开信息显示,CodeBuddy Security在多个主流开源项目中有成功验证案例,但其在超大型企业私有代码库中的扫描耗时、算力消耗及准确率数据,尚待更多实际用户反馈来检验。
- 定价与商业模式:企业试用后的定价模式(按代码量、扫描次数、还是按年订阅)以及是否提供私有化部署(Xcheck支持私有部署)的具体方案,将直接影响中小开发团队能否负担。
- 竞品跟进动态:其他云厂商如阿里云、华为云以及独立代码审计工具厂商(如Synopsys、Checkmarx)是否会快速跟进类似“AI深度审计+PoC自动验证”的组合方案,将决定这一技术路径能否成为行业标准。
来源:AIbase
