基于DeepSeek AI 代码审计漏洞 v1.0上线!可本地ollama调用
基于DeepSeek AI 代码审计漏洞 v1.0上线!可本地ollama调用
谈思实验室 2025-02-06 09:54
点击上方蓝字
谈思实验室
获取更多汽车网络安全资讯
前言
经过相当的一段时间开发和很多通宵的优化修改,内测,这个工具总算可以把1.0版本拿出来给大家了,同时非常感谢lingview师傅让开发得以顺利,zac(点点)师傅给出了idea,并参与到优化中,非常感谢。
工具亮点
结合了污点分析+ast分析+AI分析(两轮不同提示词校验)验证并输出payload
拥有在线和离线两种模式 api调用和本地ollama调用
支持php和java的审计
以及看起来还不错的功能优化调教
工具截图
使用手册
左上角文件 打开文件将会导入文件夹并自动开始审计
在第三页的设置栏我们可以选择在线或者离线模式
在线模式的API key 和url我们比方使用deepseek
https://platform.deepseek.com/api_keys 在开放平台创建key即可
离线模式
离线模式仅支持ollama 内部写的也是ollama的调用 模型名称是你的ollama list的模型
离线模式提示词可以修改 不过这会间接导致很多问题,包括但不限于 无法正常回显 误报率增加 等等问题 不过改好了的话将会使误报率大大降低 这个是我们提供的 提示词模版:
你是一个代码审计专家用来辅助我判断代码有没有安全漏洞,你的职责是判断我给你的漏洞有没有可控点,我只会给你代码你只需要回答,存在漏洞,不存在漏洞,以及无法判断,不需要解释!!!,不需要你给出修复 防止 等等建议只需要回答,存在漏洞,不存在漏洞,以及无法判断这几个选择 总之回答的 存在漏洞,不存在漏洞,以及无法判断 不需要解释是核心
离线模式我们不进行二次校验,并且不推荐和建议大家去进行大项目的离线审计,只建议单代码文件,或者较小体量进行审计,这完全是因为本地大模型GPU的局限性,此外,我们有完全离线模式就是不使用ai 纯污点分析用于快速检索排查
漏洞跳转到代码界面
点击漏洞即可跳转
这个搜索是文件内搜索
在左上角文件–>搜索是全局关键字搜索
获取方式
蓝奏云:https://wwcl.lanzn.com/icRyV2lkqflg
来源: 渗透安全团队
end
精品活动推荐
专业社群
部分入群专家来自:
新势力车企:
特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯……
外资传统主流车企代表:
大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚……
内资传统主流车企:
吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用……
全球领先一级供应商:
博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、……
二级供应商(500+以上):
Upstream、ETAS、Synopsys、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、软安科技、浙江大学……
人员占比
公司类型占比
更多文章