腾讯发布CodeBuddy Security，AI Agent革新代码审计

在2026腾讯云AI产业应用大会上，腾讯云正式发布代码安全产品CodeBuddy Security。该产品将腾讯云云鼎实验室自研的AI深度审计引擎与静态分析工具Xcheck结合起来，旨在应对AI时代漏洞数量激增、传统代码审计遭遇天花板的痛点。

今年以来，AI在漏洞挖掘领域屡屡突破。某大模型公司成功发现一个藏了27年的漏洞，并在其发起的AI网络安全项目中首月挖掘出超10000个高危漏洞，人工复审真阳性率超过90%。大模型的语义推理能力善于发现传统静态分析（SAST）难以察觉的深层逻辑漏洞。然而，直接利用大模型进行企业级代码扫描效果并不理想。腾讯云云鼎实验室对比测试显示，将代码全量喂给模型，海量无关代码会稀释注意力，导致成本高且漏报率反而飙升；同一仓库运行10次，检出结果波动大，无法满足发布流水线对稳定性的硬性要求；更关键的是，“AI找洞3分钟，安全人员确认3天”的困境并未得到缓解，人工审查负担依然沉重。

针对上述问题，CodeBuddy Security提出了“双引擎协同+工程化约束”的解决方案。它将腾讯云云鼎实验室自研的AI深度审计引擎与静态分析工具Xcheck相结合。AI深度审计引擎以CodeBuddy为底座，专攻SAST难以追踪的跨模块内存安全缺陷、协议状态机问题及业务逻辑漏洞；Xcheck则支持私有化部署，确保源码不出网，在已知特征漏洞的筛查上速度快、结果确定。两路引擎并行独立扫描，最终结果合并去重，兼顾了深度与效率。

在扫描策略上，系统首先从代码库内部和历史Commit中定位高风险模块，AI引擎每次只处理一个模块及其关联热点，通过多轮渐进覆盖，有效避免注意力稀释。在验证环节，系统引入了独立二次校验机制，从零重新校验漏洞代码是否真实存在、触发路径是否可行，过滤单次分析中可能出现的“自我确信”幻觉。最后一关在隔离沙箱中搭建目标环境，由AI引擎编写PoC并实际执行，安全人员最终拿到的是带PoC的确证漏洞，而非待排查的疑似发现。此外，AI确认的漏洞路径会自动沉淀为Xcheck检测规则，下次由静态引擎直接分析，不再重复消耗算力。

目前，CodeBuddy Security已在大量主流开源基础设施、深度学习框架和底层系统模块中得到验证，陆续向NVIDIA、Google、Meta、Apache、Mozilla、OISF等企业及社区提报多个有效漏洞并协助完成修复，获得官方确认与致谢。同时，该方案已逐步接入腾讯内部发布流水线，在代码上线前为业务规避安全风险。目前，CodeBuddy Security已面向企业开放试用，为企业代码安全审计提供更高效的解决方案。