文章总结： XSASTGO是NOVASEC团队发布的代码审计工具重大更新版本，采用Go语言完全重构，新增多语言语法解析能力支持asp/aspx/c#/go/java/js/ts/php/python，提供漏洞代码函数获取及调用关系分析。工具配备跨平台的XrulesUI规则编辑器和Xauditor审计器UI，支持中英双语。核心亮点包括多供应商AI模型支持以避免单点故障，以及多规则引擎联动（内置xscanner和xaiscan，可选集成bearer/semgrep/codeql）。目前XSASTGO需License使用，旧版XSAST-PY将在清理敏感信息后完全开源。 综合评分： 78 文章分类： 安全工具,代码审计,AI安全,安全开发

XSASTGO 代码审计工具更新

原创

酒零 酒零

NOVASEC

2026年2月9日 17:31 广东

0x00 前言

免责声明：继续阅读文章视为您已同意[NOVASEC免责声明].

累积了大半年的Code债务终于结束了

感谢大佬们对XSAST的支持，新版的XSAST-Go已经发布。

新版XSAST使用GO语言编写，其实程序早就立项并且也写的差不多了，但是在语法解析这里总是感觉存在缺陷，如果直接发布的话和旧版的XSAST-PY并没有什么大的区别。

最近又耗时一周对语法解析功能进行重构，开始手写，然后让AI写，越写代码越丑，一言难尽。

新XSASTGO功能介绍：

1、支持语法解析 asp/aspx/c#/go/java/js/ts/php/python

由于不确定实际解析效果是否达到预期，因此没有添加调用链分析，但已经添加了漏洞代码函数获取、本函数调用的方法、调用本函数的方法。

这些数据会作为AI提示词用于进行漏洞分析，并且也会填充到扫描结果中，可以通过审计器UI进行查看。

2、新的跨平台规则编辑器 XrulesUI

使用go wails重新编写规则编辑器UI

拥有更友好的显示和交互方式

并实现中英双语显示。

3、新的跨平台Xauditor 审计器UI

使用go wails重新编写规则编辑器UI

拥有更友好的显示和交互方式，

并实现中英双语显示。

4、多供应商多模型支持

运行使用不同模型对同一漏洞信息进行分析，避免单点AI故障，

当然也会对模型进行基础的识别能力测试。

相同漏洞的不同分析结果会在审计器UI中合并显示

5、多规则引擎支持

新XSAST在自实现的规则引擎外，额外增加了几个常用审计工具的联动

具体引擎如下：

xscanner 基于正则规则的分析引擎 （内置）

bearer 开源规则引擎 （需要用户安装）

semgrep 开源规则引擎 （需要用户安装）

codeql 开源规则引擎（ 需要用户安装）

xaiscan 纯AI分析引擎 只依赖大模型进行漏洞分析（内置）

xaiscan模式下使用–pa 会额外启用内置的十多个独立漏洞的提示词，不建议全部启用，价格太贵

目前XSASTGO没有开源，且其中的SAST审计命令行还需要License.

但过段时间XSAST-PY将在清理完代码中的敏感信息后进行完全开源，足够满足渗透测试时的快速代码审计需求。

XSASTGo获取和试用方式： 【纷传|WX】

NOVASEC

WINEZER0

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：NOVASEC 酒零 酒零《XSASTGO 代码审计工具更新》