6月5日,在2026騰訊雲AI產業應用大會上,騰訊雲發佈代碼安全產品CodeBuddy Security,該產品將騰訊云云鼎實驗室自研的AI深度審計引擎與靜態分析工具Xcheck結合起來,解決AI時代漏洞激增、傳統代碼審計遭遇天花板的痛點。

image.png

AI能力飆升,但利用AI挖漏洞仍需跨越幾道坎

今年以來,AI在漏洞挖掘領域屢屢突破,某大模型公司找到了一個藏了27年的漏洞,在其發起的AI網絡安全項目中首月就挖出超10000個高危漏洞,人工複審真陽性率超過90%。大模型的語義推理能力善於發現傳統靜態分析(SAST)看不到的深層邏輯漏洞,但直接拿大模型做企業級代碼掃描,效果並不理想。騰訊云云鼎實驗室對比測試發現,將代碼全量餵給模型,海量無關代碼稀釋了注意力,成本高且漏報反而飆升;同一個倉庫跑10次,檢出結果波動大,無法進入對穩定性有硬要求的發佈流水線;更關鍵的是,"AI找洞3分鐘,安全人員確認3天",人工審查負擔並沒有降下來。

騰訊自研AI深度審計引擎結合Xcheck,構建漏洞挖掘與驗證閉環

針對於AI挖漏洞的存在的問題,CodeBuddy Security的解法是"雙引擎協同+工程化約束"。將騰訊云云鼎實驗室自研的AI深度審計引擎與靜態分析工具Xcheck結合起來,AI深度審計引擎以CodeBuddy爲底座,專攻SAST難以追蹤的跨模塊內存安全缺陷、協議狀態機問題及業務邏輯漏洞;Xcheck支持私有化部署、源碼不出網,在已知特徵漏洞的篩查上速度快、結果確定。兩路並行獨立掃描,結果合併去重。

在掃描策略上,系統先從代碼庫內部和歷史Commit中定位高風險模塊,AI引擎每次只處理一個模塊及其關聯熱點,多輪漸進覆蓋,避免注意力稀釋。在驗證環節,系統引入獨立二次校驗,從零重新校驗漏洞代碼是否真實存在、觸發路徑是否可行,過濾單次分析中的"自我確信"幻覺;最後一關在隔離沙箱中搭建目標環境,由AI引擎編寫PoC並實際執行,安全人員拿到的是帶PoC的確證漏洞,而非待排查的疑似發現。AI確認的漏洞路徑還會自動沉澱爲Xcheck檢測規則,下次由靜態引擎直接分析,不再重複消耗算力。

image.png

目前,CodeBuddy Security已在大量主流開源基礎設施、深度學習框架和底層系統模塊中得到驗證,陸續向NVIDIA、Google、Meta、Apache、Mozilla、OISF等企業及社區提報多個有效漏洞並協助完成修復,並獲得官方確認與致謝。同時,該方案已逐步接入騰訊內部發布流水線,在代碼上線前爲業務規避安全風險。

目前,CodeBuddy Security已面向企業開放試用,爲企業代碼安全審計提供更高效的解決方案。