文章总结： 文章探讨了AI对代码审计的影响，解析了Agent与Skills的工作原理，指出AI审计本质是模拟并固定化人工流程。虽然AI降低了技术门槛并提升了效率，但面临成本、隐私及特定领域准确性等挑战。作者建议安全人员积极拥抱变化，将AI与传统审计及多领域结合，探索解决逻辑漏洞的新方案以提升个人价值。 综合评分： 78 文章分类： 代码审计,AI安全,实战经验,安全工具

浅谈AI对代码审计的影响

原创

goddemon goddemon

goddemon的小屋

2026年3月11日 16:45 四川

前言:

好像很久很久没发过文章了，忙的话倒还好，状态的话是一边玩，一边构思，一边工作的状态。

但是也确实是越来越不爱发东西了，可能每个人的想法不一样吧，以及这个时代太容易被复制了？

不过最近属实看到了太多太多的代码审计的文章了，大部分都是AI做代码审计，比如skills做代码审计，又比如agent做代码审计。

比如：日常能看到这类文章

引得一众恐慌，真的有必要嘛。

正文：

先谈一谈ai做代码审计的原理，以及skills，agent的原理以及相关的优劣点。

前2年的ai模型代码审计

那为什么前2年的ai模型做代码审计没这么火呢

这里得先谈ai模型的本质

model的本质是利用大量的数据集然后按照确定的架构进行监督强化训练，最后达到能够推理以及搞定问题的功能。

也就是因为如此他会受到2个限制

限制1：架构选择问题

比如Transformer架构，CodeBERT架构等等，这个架构选择的本身就会限制硬件资源的需求，这也是为啥有时候能看到有些科技公司说采用了不同的架构可以使用更小的硬件资源的原因。

限制2：数据集限制问题

海量的数据集，因为ai模型其实就是对原有的数据集一直做标识，监督然后进行强化训练，因此理论上来说如果是足够大的数据集，整个linux，windows系统都能给开发出来。

同理当数据集越来越大后，需要的硬件资源也会越高，即推理成本无限增高。

从这两个限制可以看出，其实ai的发展本质上是受到了数据集和架构确定以及硬件资源的限制。

那么这两年ai发展到底突破了什么技术？

1、硬件资源无限突破或者说是资金的涌入，不论是英伟达的显卡还是说大量的内存条无限累加突破。

2、架构的突破，各个厂商突破架构，使数据之间的传播效率越来越高，导致了成本更低。

3、数据集的无限累加，因为数据集训练本身是时间的，这两年随着加入的厂商越多，数据集越来越多，加入的数据无限叠加，因此产生了突破。

ok这是ai模型本身的突破，这个打破了token长度的文本限制，那么凭这个突破，ai就能实现代码审计行业的完全自动化嘛

或许可以，又或许不可以

或许可以的原因是如果是小量代码，直接采用原生的顶级ai模型，因为他的硬件资源足够多，数据样本足够大，也可实现代码审计效果的ok。

或许不可以的原因是，一旦代码量无限叠加，如果让ai漫无目的的去审，一定会产生看到什么代码就审什么代码，导致误报一堆，钱花了，产生的价值毫无意义。

因此agent和skills相关概念活了

对于agent而言其实就是给大脑装上了一双手，让他有能力去调用本地的工具以及进行拆解复杂的问题，可以理解为一个总指挥，你可以理解为通过mcp协议将本地的工具连接上了ai。

skills的话，可以理解为将单一的能力按照固定的流程去封装好，即突破单一点的能力。

因此2个能力同时结合就可以变成ai去调用agent拆解能力，然后在去调用skills的单一能力，最后汇总为一个结果。

当然现在很多网上的代码审计文章很多人是直接ai直接调用skills，这里的能力与否打个问号吧。

ok讲完了基本的概念后，我们回到ai做代码审计本身而言，为啥现在这么火。

现在ai模型代码审计：

想要把这玩意讲明白，首先就得知道代码审计的常规流程

对于代码审计人员而言：拿到一套代码 大概的流程为（大同小异吧，具体看每个人的审计思路吧）

ounter(line确定开发语言-->分析系统架构-->进行反编译源码等等-->然后进行分析权限鉴定情况-->分析可控的入口点->分析可能的污染点-->分析逻辑是否可到达-->形成poc进行漏洞验证-->最后报告入库

对于ai模型做代码审计的本质上其实就是模拟这个过程：

不论是定义skills也好，调用agent也好，本质上其实都是类化这个过程。

只是和常规的代码审计相比，他将这个流程固定化了，因此看起来是直接一个ai扫描结束然后就获取到结果了。

一句话用skills和agent是将工作流程进行了固定以及做了限制，最后返回结果。

因此，从理论上而言，如果你的模型足够大，自定义流程定义的足够多，agent体和skills这些定义的足够多，理论上而言，所有漏洞都能挖掘出。

那么问题来了，既然如此，是否就意味着ai进行代码审计没有任何的坏处呢。

答案：个人觉得并不是

缺点1：ai成本和安全隐私问题

前文已经讲了，因为大模型的硬件巨大成本，想过一个问题没有能达到Anthropic这样的商业ai模型成本的价格会需要多少呢？

个人或者公司真的能够部署的了这个嘛，且对于安全这个行业而言，甲方公司代码真的敢上云嘛，敢把代码交给各大的ai模型厂商嘛。

这个由各位来评判吧

缺点2：

特定领域的代码审计以及代码审计+非代码问题结合的安全问题

对于小众语言框架的开发，ai审出的漏洞你真的敢信嘛以及有些漏洞真的只是code层面导致的嘛，确定把code分析完后就不会出现其他问题了？

这个也打个问号吧

而对于优点的话，ai代码审计在我看来最大的优点就是降低了技术门槛以及时间效率。

最后：

总结来看呢，在笔者看来，对于安全研究人员而言：

ai模型对代码安全领域的影响是必然的，但是也不要那么悲观，如果你还是按部就班的按照传统的思路去做代码审计，那么波及是必然的。

但是如果你将你的代码审计结合ai以及多领域结合呢，你可挖的漏洞是否会变的范围更大呢？

以及就拿代码审计而言，随着ai时代的影响，能够从0~1，直接能给公司落地ai代码审计模型和方案的人是否也会有价值呢？

以前原生的正则，ast方案无法解决的逻辑漏洞问题，在ai的加持下，是否也可有些方案能解决呢？

这些东西都可以去思考思考，只能说悲观者永远正确，乐观者永远向前，看自己咋想罢了。

排版有点丑，将就看吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：goddemon的小屋 goddemon goddemon《浅谈AI对代码审计的影响》