腾讯云发布 CodeBuddy Security，AI 深度审计结合静态扫描应对代码安全挑战

6月5日，在2026腾讯云AI产业应用大会上，腾讯云正式发布代码安全产品 CodeBuddy Security。该产品将腾讯云云鼎实验室自研的 AI 深度审计引擎与静态分析工具 Xcheck 结合，针对 AI 时代漏洞数量激增以及传统代码审计遇到瓶颈的问题提供解决方案。

大模型的语义推理能力能够发现传统静态分析（SAST）难以覆盖的深层逻辑漏洞，但直接让大模型进行企业级代码扫描效果并不稳定。测试显示，把完整代码喂给模型会导致海量无关信息分散注意力，漏报率上升且扫描成本高。同一个代码仓库跑十次，结果波动较大，难以满足发布流水线的稳定性要求。AI 发现漏洞只需几分钟，安全人员人工确认却要花费数天，整体效率未能实质提升。

双引擎协同与工程化约束构建验证闭环

CodeBuddy Security 采用双引擎独立扫描后合并去重的机制。AI 深度审计引擎基于 CodeBuddy 底座，专门处理跨模块内存安全缺陷、协议状态机问题及业务逻辑漏洞。静态分析工具 Xcheck 负责筛查已知特征漏洞，速度快且结果确定，支持私有化部署并保证源码不出网。

扫描流程先从代码库和历史提交记录中定位高风险模块。AI 引擎每次只处理单个模块及其关联热点，通过多轮渐进覆盖避免信息稀释。系统随后引入独立二次校验，从零重新验证漏洞是否存在以及触发路径是否可行，过滤 AI 的自我确信幻觉。最后一步在隔离沙箱内搭建目标环境，由 AI 编写 PoC（概念验证代码）并实际执行。安全人员最终拿到的是经过执行确证的漏洞，而非待排查的疑似线索。AI 确认的漏洞路径会自动沉淀为 Xcheck 的检测规则，后续直接由静态引擎处理，不再重复消耗算力。

目前，该方案已在多款主流开源基础设施、深度学习框架和底层系统模块中完成验证。团队陆续向 NVIDIA、Google、Meta、Apache、Mozilla、OISF 等企业和社区提交多个有效漏洞，协助完成修复并获得官方确认与致谢。该工具已逐步接入腾讯内部发布流水线，在代码上线前拦截安全风险。CodeBuddy Security 现已面向企业开放试用。