文章总结： BugHunter是一款基于多智能体协同架构的下一代代码安全审计工具，通过侦察-狩猎-质疑-裁决的序列化管道实现从代码扫描到自动修复的全链路自动化。该工具深度融合对抗性思维与AI推理能力，支持断点续扫与并行三审机制，可集成到CI/CD流水线中帮助开发团队在代码提交阶段完成安全闭环处置。工具提供自动修复和只读扫描两种模式，适合大规模代码库的深度检测与风险评估。 综合评分： 85 文章分类： 代码审计,安全工具,安全开发,漏洞分析,安全运营

Bug Hunter：一个代码安全审计的skills

原创

网安工具库 网安工具库

网安工具库

2026年6月23日 19:38 湖南

在小说阅读器读本章

去阅读

更多干货  点击蓝字 关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·NextWQ：一款QQ小程序安全测试分析工具

·MPScan：微信小程序自动化敏感信息审计工具

·cloudTools：一款集成多平台的OSS接管和管理工具

·Misc-Galaxysail：一站式 CTF Misc 杂项分析工具

·FOFA网站：网络空间资产测绘系统

·NacosExploit：一款针对Nacos综合安全测试工具

介绍

    Bug Hunter 是一款基于多智能体协同架构的下一代代码安全审计工具，它将传统漏洞挖掘流程重构为”侦察-狩猎-质疑-裁决”的序列化管道，实现了从代码扫描、漏洞验证到自动修复的全链路自动化。不同于常规的静态分析工具，Bug Hunter 深度融合了对抗性思维与AI推理能力，能够主动模拟攻击者视角，在大型代码库中精准定位真实可利用的漏洞，并支持断点续扫与并行三审机制，确保在高效扫描的同时维持极高的准确率。无论是日常代码审查、安全回归测试，还是针对历史遗留系统的专项安全评估，Bug Hunter 都能作为您的专属安全专家，大幅降低人工审计成本。

    在当今敏捷开发与DevOps实践中，安全漏洞的发现与修复往往滞后于功能交付，成为研发流程中的瓶颈。Bug Hunter 通过默认启用自动修复能力（同时提供 –scan-only 只读模式供合规场景使用），有效弥合了”发现漏洞”与”修复漏洞”之间的鸿沟，帮助开发团队在代码提交阶段即完成闭环处置。其断点续扫与状态恢复机制，特别适合超大规模代码库的深度检测；而安全只读并行分诊能力，则允许在不修改任何代码的前提下快速生成风险评估报告。无论您是安全工程师、技术负责人还是开发者，Bug Hunter 都能无缝集成到您的CI/CD流水线中，将安全左移从理念转化为可落地的日常实践。

工具安装

在终端输入：

npx skills add codexstar69/bug-hunter

    或者通过npm：

npm install -g @codexstar/bug-hunterbug-hunter install     # auto-detects your IDE/agentbug-hunter doctor      # verify environment

    或者克隆：

git clone https://github.com/codexstar69/bug-hunter.git ~/.agents/skills/bug-hunter

需求：Node.js推荐18+。核心流水线无需它也能正常工作。

兼容：Claude Code、Cursor、Codex CLI、Windsurf、Kiro、Copilot、Opencode、Pi——或任何能够读取文件和运行shell命令的AI代理。

功能介绍

功能介绍

工具需要结合ai运行，这里推荐Claude Code，安装如下：

npm install -g @anthropic-ai/claude-code

    全局安装Claude后，进行Claude的api配置：

    需要在你电脑的 用户目录 下找到 .claude 文件夹，并在里面创建或编辑 settings.json 文件，Windows路径如下：

C:\Users\你的用户名\.claude\settings.json

    如果文件夹或文件不存在，可以手动创建它们。用记事本或VS Code打开 settings.json，写入下面的内容。请务必将 YOUR_API_KEY 替换成你从服务商那里获取的真实API Key：

{    "env": {        "ANTHROPIC_AUTH_TOKEN": "YOUR_API_KEY",        "ANTHROPIC_BASE_URL": "你的API服务地址",        "ANTHROPIC_MODEL": "你想使用的模型名称",        "ANTHROPIC_DEFAULT_OPUS_MODEL": "模型名称",        "ANTHROPIC_DEFAULT_SONNET_MODEL": "模型名称",        "ANTHROPIC_DEFAULT_HAIKU_MODEL": "模型名称",        "CLAUDE_CODE_SUBAGENT_MODEL": "模型名称"    }}

    然后就可以正常使用Claude了。

    在目标目录路径下打开Claude，直接在终端输入：

claude

    然后在打开的claude对话框中，输入以下命令，使用工具对当前目录做基础操作：

    快速入门：

/bug-hunter                      # scan project, auto-fix confirmed bugs/bug-hunter src/                 # scan a specific directory/bug-hunter --scan-only src/     # report only, no code changes/bug-hunter --pr                 # review the current pull request/bug-hunter --pr-security        # PR security review + threat model + CVEs/bug-hunter --deps --threat-model # full security audit

输入命令后，Claude会自动开始对当前目录下的内容代码等进行扫描：

    扫描后会给出一个汇总报告，并且开始对扫描结果进行修复和处理，当确认漏洞时，Fixer会进行修补——不仅仅是编辑：

Git 分支 — 专用修复分支，带有还原点测试基线——记录通过测试后未进行任何编辑策略——对每个漏洞进行分类：安全自动修复/手动审查/更大重构/架构置信门——只有在>=75%置信度时自动修复确认的错误金丝雀上线——先修复前1-3名关键漏洞;如果测试出问题，流程就会停止每个修正点检查点——每个修正单独提交;失败自动还原修复后重新扫描——发现修复师自己引入的bug

    最终结束后会给出Bug Hunter 完整报告：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安工具库 网安工具库 网安工具库《Bug Hunter：一个代码安全审计的skills》