文章总结： AuditLuma是一款企业级智能代码审计系统，核心采用四层RAG架构与多代理协作，支持跨文件漏洞检测与多LLM厂商接入。该工具结合Haystack-AI编排与Self-RAG验证机制，显著降低假阳性，通过构建调用图与数据流图精准识别复杂漏洞。支持污点分析及异步并行处理，适用于大规模代码库安全审计，可生成多格式报告并提供修复建议。 综合评分： 80 文章分类： 代码审计,安全工具,AI安全

支持多LLM的AI代码审计工具AuditLuma

原创

0x八月 0x八月

0x八月

2026年3月11日 16:29 陕西

支持多LLM的AI代码审计工具AuditLuma

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

📖 项目/工具简介

AuditLuma 是企业级智能代码审计系统，采用四层RAG架构与多代理协作，支持跨文件漏洞检测与多LLM厂商接入。

🚀 一句话优势

Haystack-AI编排配合Self-RAG验证，精准识别跨文件复杂漏洞。

📋 核心能力速览

| 功能 | 说明 | | — | — | | 层级RAG分析 | Haystack编排+txtai检索+R2R增强+Self-RAG验证 | | 跨文件检测 | 构建调用图与数据流图发现跨文件漏洞 | | 污点分析 | 追踪用户输入传播路径识别污染点 | | 多LLM支持 | 支持OpenAI、DeepSeek、通义千问等 | | MCP协作 | 多代理合作协议增强协调效率 |

✨ 核心亮点

1. 层级RAG架构

AuditLuma 采用四层验证机制：Haystack-AI编排器负责任务分解，txtai实现语义检索，R2R完成上下文增强，最终经Self-RAG多模型交叉验证输出结果，显著降低假阳性。

2. 跨文件安全分析

通过构建全局代码调用图与数据流图，AuditLuma突破单文件分析局限，精准检测传统工具难以发现的跨文件漏洞与复杂依赖关系。

3. 多厂商LLM支持

原生支持OpenAI、DeepSeek、MoonShot、通义千问等主流厂商，通过model@provider格式自动识别，企业可灵活选择合规模型。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | Haystack-AI | 智能任务编排与结果整合 | 支持AI与传统编排器回退 | | txtai检索 | 语义相似性匹配 | 精准理解代码上下文 | | Self-RAG | 多模型交叉验证 | 有效过滤假阳性 | | 异步并行 | 并发处理技术 | 提升大规模代码库分析速度 | | 自适应架构 | 根据项目规模自动选择模式 | 优化资源使用效率 |

📖 使用指南

① 准备工作：克隆仓库安装依赖，配置config/config.yaml指定LLM厂商与模型，可选安装faiss-cpu优化大型项目性能。

② 核心操作：执行python main.py –architecture hierarchical启动层级RAG分析，使用taint analysis追踪输入传播，通过MCP协议协调多代理任务。

③ 结果查看：在./reports目录查看HTML/PDF/JSON格式报告，分析依赖关系图与漏洞修复建议。

📖 项目地址

https://github.com/Vistaminc/AuditLuma

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

| | | | — | — | | | |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0x八月 0x八月《支持多LLM的AI代码审计工具AuditLuma》