[Python] DeepAudit：开源代码审计多智能体系统，支持一键部署与自动化验证

DeepAudit 是一个开源的代码漏洞挖掘多智能体系统，致力于让安全审计变得简单高效。它采用创新的 Multi-Agent 协作架构，具备自主审计与自动化沙箱验证能力，旨在降低安全成本与使用门槛。

项目地址：https://github.com/lintsinghua/DeepAudit

项目特点

• 多智能体协作审计：系统模拟安全专家思维，通过编排器（Orchestrator）、侦察（Recon）、分析（Analysis）、验证（Verification）等多个智能体的自主协作，实现对代码的深度理解、漏洞挖掘及PoC验证。
• 解决传统工具痛点：针对传统SAST工具误报率高、业务逻辑盲点、缺乏验证手段等问题，DeepAudit利用AI技术进行优化，降低误报，理解复杂逻辑，并通过沙箱验证确认漏洞真实性。
• 灵活便捷的部署：支持一行命令快速部署（推荐）、国内加速部署及源码克隆部署等多种方式，方便不同网络环境的用户。
• 丰富的功能矩阵：提供Agent深度审计、RAG知识增强、沙箱PoC验证、项目管理、即时分析、五维检测、审计规则、报告导出等全方位功能。
• 广泛的LLM平台支持：兼容国际平台（OpenAI GPT-4o/GPT-4、Claude 3.5等）、国内平台（通义千问、智谱GLM-4等）及本地Ollama部署（Llama3、Qwen2.5等），并支持API中转解决访问问题。

功能与支持

• 支持的漏洞类型：涵盖SQL注入、XSS、命令注入、路径遍历、SSRF、XXE、不安全反序列化、硬编码密钥、弱加密算法、认证绕过、授权绕过、IDOR等常见安全漏洞。
• 核心功能模式：Agent模式专享深度审计、RAG增强与沙箱验证；通用模式则提供项目管理、即时分析、五维检测等基础功能。
• 发展路线图：未来计划支持更多编程语言、强化Agent能力、实现自动漏洞修复、增量PR审计及优化RAG系统等。

重要安全声明

法律合规声明

1. 禁止任何未经授权的漏洞测试、渗透测试或安全评估。
2. 本项目仅供网络空间安全学术研究、教学和学习使用。
3. 严禁将本项目用于任何非法目的或未经授权的安全测试。

漏洞上报责任

1. 发现任何安全漏洞时，请及时通过合法渠道上报。
2. 严禁利用发现的漏洞进行非法活动。
3. 遵守国家网络安全法律法规，维护网络空间安全。

使用限制

• 仅限在授权环境下用于教育和研究目的。
• 禁止用于对未授权系统进行安全测试。
• 使用者需对自身行为承担全部法律责任。

免责声明

作者不对任何因使用本项目而导致的直接或间接损失负责，使用者需对自身行为承担全部法律责任。