使用deepseek进行代码审计漏洞挖掘?
使用deepseek进行代码审计漏洞挖掘?
_7ingLian 偏远酒馆 2025-02-06 06:32
—>目录<—
0x01——前言
0x02——
deepseek-r1、
deepseek-coder-v2
大模型本地部署
0x03——deepseek-r1、
deepseek-coder-v2、
llama3.1在代码审计上的效果
| 0x01、前言 |
—>
由于2024年年底写了个框架,直接可以调用ollama的大模型进行单个文件或者框架压缩包进行分析。最近发现deepseek在ollama网站有了更新。想来看下能否将其直接用来进行漏洞挖掘。
|
|
—>
这里说DeepSeek的第一代推理模型与OpenAI-O1相当
这是ollama网站上的新模型展示。
为了方便比较在代码上的效果,直接将
deepseek-r1和deepseek-coder-v2模型下载下来
大模型下载完成
我们将对下面三个模型进行简单的比较,目的是选择合适的模型来使用
再看一眼deepseek-r1的声明
deepseek-coder-v2也是开源模型。
|
|
—>
简单对比三个模型,deepseek-coder-v2在代码审计应用上也是不错的。
上传一个简易的框架压缩文件,让三个模型进行分析。
相同的提示词,看结果有什么不一样。(我的要求是找出漏洞,找出可控点、给出漏洞出现的位置、给出payload、给出修复建议)
这台电脑没有GPU,我直接用CPU跑。
先来看下llama3.1大模型的效果
表现还是不错的,没有出现反骨行为。给出了详细的漏洞位置和payload等。
再来看下deepseek-coder-v2的效果,也算不错。
反观deepseek-r1,它没有理会提示词,只是自顾自的说了一堆。
end