文章总结： 文章介绍长亭科技推出的免费AI开发平台MonkeyCode，演示其在审查模式下上传源码即可自动挖出真实0day（如未授权路径遍历与xlsx文件读取、文件上传），开发模式下可一键拉取GitHub项目并在线编译二开（如给gogo加混淆与密码验证），全程临时VPS环境免配置，邀请注册可无限白嫖ClaudeCode点数，适合安全与研发人员快速审计与造工具。 综合评分： 78 文章分类： AI安全,代码审计,安全工具,实战经验,安全开发

免费，够强！实战使用MonkeyCode审计0day&安全开发

MonkeyCode MonkeyCode

听风安全

2026年1月26日 09:00 北京

序言

2026年了，应该没有人不用AI了吧。第一次直观的感受到AI的强大还得是三年之前刚用cursor的时候，记得当时是在逆向一个web站点的加密算法，把源码丢给cursor就直接秒掉了。最近又接二连三出来了很多工具比如Antigravity、Windsurf、kiro等等。虽然能用但是限制越来越多，也是一直在寻找一个能平替的工具。

正好看到CT在宣传的这个MonkeyCode，试了试代码审计和工具二开效果都还蛮不错的，本篇文章会着重针对这两点进行详细讲解我是怎么通过MonkeyCode审计到0day和轻松实现工具二开的。

先来了解一下MonkeyCode是什么？

MonkeyCode 是由长亭科技推出的企业级 AI 开发平台，致力于为开发者提供更专业、更可靠、更可扩展的 AI Coding 体验，地址如下：

https://monkeycode-ai.com/

MonkeyCode有三个模式分别是：开发、设计、审查

再具体的使用可以去查看官方文档了解

https://monkeycode.docs.baizhi.cloud/

MonkeyCode 代码审计

用MonkeyCode做代码审计也非常简单，只需要把代码压缩包上传即可或者选择GitHub的地址，它会自动下载。这里要选择审查模式。

上传源码压缩包，告诉它要做的事情就行了

MonkeyCode支持完全免费使用，当然也可以使用付费的模型，这里我就使用Claude code进行测试。使用Claude code需要耗费对应的点数，不过可以邀请用户获得点数，实现左脚踩右脚上天。

接下来会自动创建一个开发环境，这个也就相当于是开了一个临时的vps，非常方便

结果也是很给力，光说不练假把式，来验证几个看看漏洞是否真实存在

这里挑了两个严重进行了验证都是存在的，路径遍历和文件上传

先来看一下权限绕过这个漏洞

/api/file/下的接口都无需认证可实现未授权访问，而路径遍历和文件上传的路径正好都在这个接口下。

可跨目录未授权文件读取，不过这里有点鸡肋的是只能读xlsx格式的文件因为代码中写死了，代码这里就不贴出来了，只作为测试验证漏洞确实存在。

如果你是安全人员，可以通过MonkeyCode大大提升效率，助你更快挖到0day或者辅助进行代码审计，如果你是开发人员同样可以使用MonkeyCode检查你的代码是否安全是否规范。

MonkeyCode 工具二开

这里对gogo进行二开，对代码进行混淆然后加上一个输入密码才能使用的功能。

这里就选择开发模式，然后复制GitHub地址就行了，再输入提示词就可以开始干活了

MonkeyCode每执行一个任务都会起一个临时的虚拟环境，也就意外着可以直接在平台进行编译，省去了在本地下载配置各种环境报错的麻烦。属于是即开即用，很方便。

等几分钟之后，ai就工作完毕

然后来测试一下看看，效果也是嘎嘎好

也可以根据自己的需求手动修改代码，或者配置环境

这里只是提供一个开发模式的使用思路，大家可以用来做更多的事情甚至开发一个新的工具。

结尾

上面代码审计的时候提到了使用Claude code需要耗费对应的点数，这里就教给大家怎么白嫖点数，首先新注册的用户可以直接获得价值200元也就是20000点。同时，邀请1个好友就可以活动2000点数，而且是不设上限的！

注册方式：

https://monkeycode-ai.com/?ic=019bd617-f10d-7e6f-b8e1-5481d98c8a42

扫描下方二维码可加入官方群聊，群内不定时发放点数，有什么相关问题也可以反馈

快来体验体验吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：听风安全 MonkeyCode MonkeyCode《免费，够强！实战使用MonkeyCode审计0day&安全开发》