PHP代码审计进入AI时代:40+Agent协作挖洞,21类漏洞全自动覆盖

admin 2026-07-10 06:22:44 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍PHPcodeaudit_skills系统,基于ClaudeCodeAgentTeams实现40+Agent协作的PHP代码全自动安全审计。系统覆盖环境搭建、静态侦察、动态追踪、深度攻击、后渗透及报告生成六阶段,可审计21类漏洞,包括PHP8.x新增攻击面。其核心优势在于零人工干预、自动生成可执行PoC与修复补丁,并通过双层攻击记忆系统实现跨项目经验复用,显著提升审计效率与准确性。 综合评分: 89 文章分类: 安全工具,实战经验,代码审计,AI安全,WEB安全


cover_image

PHP 代码审计进入 AI 时代:40+ Agent 协作挖洞,21 类漏洞全自动覆盖

网络安全启蒙

2026年7月9日 11:50 陕西

在小说阅读器读本章

去阅读

🔍 PHP 代码审计进入 AI 时代:40+ Agent 协作挖洞,21 类漏洞全自动覆盖

⚡ 零人工干预 · 六阶段链路 · 21 专家并行 · 免杀 PoC 自动生成


全链路自动化审计流程


🚀 一句话介绍

PHP_code_audit_skills 是一套基于 Claude Code Agent Teams 的 PHP 代码安全审计 AI Agent 系统。40+ 个专业 Agent 协作,覆盖环境搭建 → 静态侦察 → 动态追踪 → 深度攻击 → 后渗透 → 报告生成全链路,21 类漏洞类型专家级审计,PHP 8.x 新增攻击面全覆盖,最终输出中文完整报告 + 可执行 PoC + 框架适配补丁。

🔗 项目地址:https://github.com/bluechips-zhao/PHP_code_audit_skills


💡 解决什么问题?

| 😖 传统审计痛点 | 😎 PHP_code_audit_skills 解法 | | — | — | | 人工审计效率低,一个项目审几周 | 40+ Agent 并行协作,自动化全链路 | | 静态分析工具告警太多,误报率高 | 21 类专家 Agent,每类单独深度验证 | | 漏洞 PoC 需要手工写 | 自动生成可执行 PoC 脚本 | | PHP 8.x 新特性攻击面不了解 | 内置 PHP 8.0/8.1 新增攻击向量 | | 审计经验无法积累 | 双层攻击记忆系统,跨项目经验复用 | | 报告编写耗时 | Single-File 中文报告,Mermaid 攻击链 |


🏗️ 六阶段全链路审计架构

Phase 1 ──▶ Phase 2 ──▶ Phase 3 ──▶ Phase 4 ──▶ Phase 4.5 ──▶ Phase 5
  环境       静态侦察    动态追踪    深度攻击    后渗透       报告
  构建                                  +PoC     +Patch      生成
   ↓            ↓            ↓           ↓          ↓          ↓
 GATE-1 ──── GATE-2 ──── GATE-3 ──── GATE-4 ── GATE-4.5 ── REPORT

每个阶段都有 Gate Checkpoint 强制验证,不合格就卡住重做,确保不遗漏任何环节。


🐛 21 类漏洞专家全覆盖

21 类漏洞专家审计

Injection 类

| 漏洞 | 覆盖范围 | | — | — | | RCE | 命令/代码执行,incl. PHP 8.x NamedArgs + First-Class Callable | | SQLi | 一阶 + 二阶 SQL 注入 | | NoSQLi | MongoDB / Redis 注入 | | XXE | XML 外部实体注入 | | LDAPi | LDAP 注入 | | CRLF | CRLF 注入 / HTTP 响应拆分 |

Web / 文件类

| 漏洞 | 覆盖范围 | | — | — | | XSS + SSTI | 存储/反射/DOM + 服务端模板注入 | | SSRF | incl. DNS Rebinding 绕过 | | LFI | 本地 + 远程文件包含 | | FileWrite | 任意文件上传/写入 |

逻辑 / 数据类

| 漏洞 | 覆盖范围 | | — | — | | Authz / IDOR | 越权 + 间接对象引用 | | 业务逻辑 | incl. Fiber 并发竞争条件 | | 反序列化 | incl. POP Chain | | Session 漏洞 | Session 管理缺陷 | | 弱加密/密钥泄露 | 密码学配置错误 | | 信息泄露 | Info Leak |


⚡ PHP 8.x 新增攻击面

| PHP 8.x 特性 | 版本 | 攻击向量 | | — | — | — | | Named Arguments Injection | 8.0 | 绕过安全默认参数 | | First-Class Callable Syntax | 8.1 | 绕过字符串回调检查 RCE | | Fiber Concurrency | 8.1 | TOCTOU 竞争条件 | | Enum::from() Type Confusion | 8.1 | 类型混淆 + 信息泄露 | | Attribute Injection | 8.0 | 动态属性绕过认证 | | Match Expression Coercion | 8.0 | 严格比较被类型强制绕过 |


🤖 40+ Agent 团队协作架构

40+ Agent 团队协作架构

Team 1 – 环境构建(3 Agent)

| Agent | 职责 | | — | — | | env_detective | Framework 指纹识别、PHP 版本、DB 类型 | | schema_reconstructor | 从 ORM 模型重建数据库 Schema | | docker_builder | Docker 环境构建 + env_selfheal 自愈 |

Team 2 – 静态侦察(12 Agent)

| Agent | 职责 | | — | — | | psalm_scanner | Psalm 污点分析 | | progpilot_scanner | Progpilot 漏洞扫描 | | ast_scanner | AST Sink 检测(读取 sink_registry.json) | | phpstan_scanner | PHPStan 静态分析 | | semgrep_scanner | Semgrep 模式匹配 | | composer_audit_scanner | Composer 依赖 CVE 检测 | | route_mapper | 路由表解析 | | auth_auditor | 认证机制分析 | | dep_scanner | 第三方组件 CVE 检测 | | context_extractor | Sink 上下文提取 + 数据流分析 | | risk_classifier | 风险优先级分类 P0/P1/P2/P3 |

Team 3 – 动态追踪(3 + N Agent)

| Agent | 职责 | | — | — | | auth_simulator | 多角色登录认证模拟 | | trace_dispatcher | 高风险 Sink 追踪任务调度 | | trace_worker xN | Xdebug 追踪执行(动态扩展) |

Team 4 – 深度攻击(21 + 1 Agent)

21 类漏洞专家审计器,每类包含 Analyze + Attack 两个阶段(2-Stage Auditor Pattern),42 个独立 Skill 文件。

| # | Auditor | 特殊能力 | | — | — | — | | 1 | rce_auditor | PHP 8.x NamedArgs / FirstClass Callable | | 2 | sqli_auditor | 一阶 + 二阶 SQLi 自动切换 | | 3 | xss_ssti_auditor | XSS 全类型 + SSTI | | 4 | lfi_auditor | LFI + php://filter 链 RCE | | 5 | filewrite_auditor | 任意文件上传/写入 | | 6 | ssrf_auditor | SSRF + DNS Rebinding | | 7 | xxe_auditor | XXE 全类型 | | 8 | deserial_auditor | 反序列化 + POP Chain | | 9 | crlf_auditor | CRLF 注入 | | 10 | csrf_auditor | CSRF | | 11 | authz_auditor | 越权 + IDOR | | 12 | session_auditor | Session 管理 | | 13 | crypto_auditor | 弱加密/密钥泄露 | | 14 | race_condition_auditor | incl. Fiber 并发 | | 15 | nosql_auditor | MongoDB / Redis | | 16 | ldap_auditor | LDAP 注入 | | 17 | infoleak_auditor | 信息泄露 | | 18 | logging_auditor | 日志注入 | | 19 | config_auditor | 配置错误 | | 20 | wordpress_auditor | WordPress 专属漏洞 | | 21 | business_logic_auditor | 业务逻辑漏洞 | | – | mini_researcher | 按需触发(未知组件/CVE/PoC) |

Team 4.5 – 后渗透(4 Agent)

| Agent | 职责 | | — | — | | attack_graph_builder | 攻击图 + 链式利用路径 | | correlation_engine | 跨审计器关联 + 图记忆消费 + 误报消除 | | poc_generator | 可执行 PoC 脚本生成 | | remediation_generator | 框架适配修复补丁 + 7 步自动验证 |

Team 5 – 报告生成(3 Agent + 7 Chapter Writers)

| Agent | 职责 | | — | — | | report_writer | 7 章节编排 + 单文件汇编 | | sarif_exporter | SARIF 2.1.0 标准导出 | | env_cleaner | Xdebug 清理 + 代码/DB 恢复 |


🧠 双层攻击记忆系统

双层攻击记忆系统

Flat Memory(扁平记忆)

attack_memory 表,按 sink_type + framework + PHP版本 + WAF指纹 匹配历史经验,新项目直接复用成功 Payload。

Relational Graph Memory(图记忆)

memory_nodes + memory_edges 两张表,7 类实体关系,自动发现跨 Sink 攻击链路径。例如:

Source → [认证检查] → Sink → [Payload构造] → Result
           ↑                ↓
        Filter         关联 Filter

⚔️ 对抗循环与 Pivot 策略

当某类攻击连续失败时,自动 Pivot 到备选攻击路径:

| 原攻击失败 | 自动切换目标 | | — | — | | SQLi 全失败 | 二阶 SQLi(存储后读取拼接) | | XSS 全过滤 | SSTI({{7*7}} 探针) | | LFI 路径被过滤 | php://filter 链 RCE | | RCE disable_functions | 反序列化 POP Chain | | SSRF 内网不可达 | DNS Rebinding |


🛠️ 12 款辅助工具全家福

12 款辅助工具全家福

| 工具 | 用途 | | — | — | | sink_finder.php | AST Sink 扫描(从 sink_registry.json 加载定义) | | trace_filter.php | Xdebug Trace 简化过滤 | | payload_encoder.php | Payload 多编码(URL/Base64/Hex/双重) | | waf_detector.php | WAF 指纹检测(安全狗/D盾/云锁) | | jwt_tester.php | JWT 安全测试(Key Confusion/RS) | | type_juggling_tester.php | PHP 类型混淆测试 | | redirect_checker.php | 开放重定向检测 | | audit_db.sh | SQLite 攻击记忆数据库 | | vuln_intel.sh | 漏洞情报采集(NVD/GitHub Advisory) | | audit_monitor.sh | 审计实时监控 | | validate_shared.php | shared/ 一致性 + Schema 校验 | | quality_report_gen.sh | QC 报告生成 |


🔧 快速启动

环境要求

| 依赖 | 说明 | | — | — | | 🐋 Docker + Docker Compose | 必须 | | 🤖 Claude Code | v2.1.87+ | | 🖥️ tmux | 可选,分屏视图 |

启动命令

# 方法1:放到 Claude Code skills 目录
# 然后直接启动:
/php-code-audit-skills /path/to/php-project

# 方法2:指定配置文件
/php-code-audit-skills /path/to/php-project --config /path/to/audit_config.yaml

自定义配置(audit_config.yaml

timeouts:
  phase4_per_expert: 30        # 每个专家 Phase-4 超时(分钟)
attack:
  rounds: 12                   # 攻击轮次(默认8,最大20)
  early_stop_rounds: 3         # 连续 N 轮无新发现则提前停止
  destructive: false           # 破坏性测试(默认关闭)
priority_threshold: P1        # 风险阈值
skip_auditors:                # 跳过的审计器
  - wordpress
  - ldap
exclude_paths:                # 排除目录
  - vendor/
  - tests/
human_in_loop:
  enabled: false               # 关键决策人工确认(默认关闭)

📋 输出产物

输出产物清单

$WORK_DIR/
├── report/
│   ├── audit_report.md              # 完整中文审计报告(7章节)
│   └── audit_report.sarif.json      # SARIF 2.1.0(CI/CD 集成)
├── PoC_scripts/
│   ├── poc_{sink_id}.py             # 每个漏洞独立 PoC
│   └── run_all.sh                   # 批量执行脚本
├── patches/
│   ├── {finding_id}.patch            # 框架适配修复补丁
│   └── remediation_summary.json      # 7步验证结果
├── lessons/
│   ├── lessons_learned.md           # 审计经验总结
│   └── shared_file_update_suggestions.md
├── quality_report/
│   └── quality_report.md            # 独立 QC 质量报告
└── .audit_state/
    ├── checkpoint.json              # 断点续审
    └── human_decisions.json       # 人工决策记录

📊 审计报告结构

每个漏洞详情包含:

| 模块 | 内容 | | — | — | | 漏洞信息卡 | 严重性/类型/路由/Sink/认证/优先级 | | Context Pack | 入口→调用链→Sink→中间件→过滤器→认证绕过 | | Mermaid 攻击链 | 可视化攻击路径图 | | 数据流追踪 | Source → Sink + file:line | | Burp 模板 | Repeater + Intruder,即插即用 | | 攻击迭代日志 | 每次尝试记录,失败原因分析 | | 修复方案 | Before vs After + 7 步 Patch 验证状态 |


🛡️ 质量保证体系

这套系统有 560+ 约束规则,确保 Agent 不胡说八道:

| 机制 | 说明 | | — | — | | Fill-in 模板 | 固定字段填空,禁止自由文本 | | 正反示例 | 每个 Skill 内置 Positive/Negative Examples | | 31 个 JSON Schema | 所有 Agent 间数据交换严格格式验证 | | 17 条反幻觉铁律 | anti_hallucination.md 强制执行 | | 独立 QC Agent 池 | 质量检查不由执行 Agent 自己完成 | | Gate Checkpoint | 每阶段结束强制产物验证 |


⚠️ 免责声明

🔴 本工具仅供授权安全审计、安全研究和教育目的使用。

使用前必须获得目标系统所有者的明确书面授权。未经授权对他人系统进行安全测试属违法行为。


📌 结语

PHP_code_audit_skills 把 PHP 代码审计的 效率 和 深度 同时提升了一个量级:

👥 40+ Agent 并行   →   从几周到几小时
🧠 21 专家分工     →   每类漏洞单独深度研究
📝 自动生成报告    →   中文完整交付物
🛡️ 560+ 约束规则  →   低误报,可信输出
🔄 跨项目经验积累  →   越审越强

如果你经常做 PHP 代码审计,或者需要快速对 PHP 项目做全面安全评估,这套系统值得重点关注。


🔗 项目地址:https://github.com/bluechips-zhao/PHP_code_audit_skills

👤 作者:bluechips | 📌 版本:V1.0


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网络安全启蒙 《PHP 代码审计进入 AI 时代:40+ Agent 协作挖洞,21 类漏洞全自动覆盖》

评论:0   参与:  0