零基础搭建AI代码审计平台DeepAudit

之前部署过api中转,Hermes这种服务,我当时的本意是用中转去搞一些廉价的token配合hermes的skills实现比较自动化挖洞,但hermes毕竟不是一个为了漏洞审计而生的框架。

然后无意间刷到了DeepAudit,可以支持沙箱POC验证,生成报告。我感觉最优解是配合Hermes部署一个环境根据报告生成exp验证,验证没问题去找资产通杀交洞(

部署DeepAudit

更新系统

1
sudo dnf update -y

添加阿里云 Docker CE 源

1
sudo dnf config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

安装 Docker

1
sudo dnf install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin

配置 Docker 镜像源

这里去阿里云找加速镜像源,目前来看国内还是挺稳的

image-20260528083856340

1
vim /etc/docker/daemon.json
1
2
3
4
5
{
    "registry-mirrors": [
        "https://mirror.aliyuncs.com"
    ]
}

启动并设置开机自启 Docker

1
systemctl enable --now docker

使用官方脚本安装DeepAudit

1
curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d

image-20260528090713824

部署完之后访问对应机器的3000端口即可

image-20260528090751710

配置DeepAudit

先注册个账户 然后配置Api 我用的是Mimo

image-20260528091400245

然后就选择项目管理 新建一个项目 我这里用的是一个在国内高校用的比较多的开源组件进行审计的

image-20260528091716094

点击Agent审计即可

image-20260528091745467

开启执行任务啦 等待工作流跑完

image-20260528091819596

我跑这个小项目大概就几分钟左右(我这里是又开了一个任务 可能时间对不上

image-20260602161839297

点击EXPORT导出报告 可以看到检测出来的漏洞 以及置信度

这个时候其实手动或者让Ai部署一下 然后去验证漏洞 再去找找同版本资产能不能通杀刷刷洞玩了

image-20260602162220189