腾讯CodeBuddy Security：AI Agent代码审计新标杆

2026年6月5日，在腾讯云AI产业应用大会上，腾讯云正式发布了一款全新的代码安全产品——CodeBuddy Security。该产品集成了腾讯云云鼎实验室自研的AI深度审计引擎与静态分析工具Xcheck，旨在应对AI时代漏洞数量急剧攀升、传统代码审计在性能与精度上双双达到瓶颈的严峻挑战。

AI能力飞速提升，但利用AI挖掘漏洞仍面临多重现实瓶颈

今年以来，AI在漏洞挖掘领域取得了显著突破。例如，某头部大模型厂商成功发现了一个潜伏长达27年的高危漏洞；在其主导的AI安全专项中，上线首月便识别出超过1万个高风险漏洞，经人工复核后真阳性率稳定在90%以上。这得益于大模型强大的语义理解与上下文推理能力，能够精准捕捉传统SAST工具长期难以触及的深层逻辑缺陷。

然而，理想与现实之间仍有差距。若直接将大模型用于扫描企业级全量源代码，效果往往大打折扣。腾讯云云鼎实验室实测数据显示：全量代码输入会导致模型注意力被海量无关代码分散，推理成本激增，漏报率反而上升；同一代码仓库重复扫描10次，结果波动剧烈，稳定性无法满足CI/CD流水线对确定性的要求。更棘手的是，“AI三分钟找到漏洞，安全工程师却需三天验证”，人工负担并未真正减轻。

自研AI深度审计引擎携手Xcheck，构建“发现—验证—沉淀”全链路闭环

针对这些痛点，CodeBuddy Security采用“双引擎协同 + 工程化治理”方案。具体而言，云鼎实验室自研的AI深度审计引擎作为智能核心，依托CodeBuddy技术底座，专攻跨模块内存安全问题、协议状态机异常以及复杂业务逻辑漏洞；而Xcheck则聚焦高效筛查已知模式漏洞，支持私有化部署，确保源码不出域，具备高确定性与低延迟优势。两者并行扫描，独立输出结果后融合去重，形成能力互补。

在扫描策略上，系统先根据代码库结构及历史提交信息动态识别高风险模块。AI引擎仅聚焦单个模块及其关联热点路径，通过多轮渐进式分析完成全域覆盖，有效避免注意力分散。验证环节引入独立二次校验机制——从零开始重建漏洞上下文，严格复现触发路径，剔除AI单次推理中因“过度自信”产生的幻觉误报。最终阶段，在隔离沙箱环境中构建真实运行状态，由AI引擎自动生成PoC并执行验证。交付到安全团队手中的，是附带可复现PoC的确定性漏洞，而非需要人工排查的疑似线索。更重要的是，所有经AI确认的有效漏洞路径都将自动提炼为Xcheck新规则，后续同类问题静态引擎即可直接识别，实现AI能力向规则资产的可持续沉淀。

目前，CodeBuddy Security已在众多主流开源基础设施、深度学习框架及底层系统组件中完成大规模验证。团队已向NVIDIA、Google、Meta、Apache、Mozilla、OISF等国际知名科技企业与开源社区提交多个高质量漏洞报告，均获得官方确认与致谢。同时，该方案已逐步嵌入腾讯内部发布流程，在代码上线前提供前置安全拦截能力，有效降低业务系统的暴露风险。

现阶段，CodeBuddy Security已面向企业用户开放试用通道，为企业级代码安全审计提供了更智能、更稳定、更高效率的全新选择。