腾讯发布CodeBuddy_Security：用AI_Agent实现更高效的代码审计

6月5日，在2026腾讯云AI产业应用大会上，腾讯云正式推出全新代码安全产品——CodeBuddy Security。该产品深度融合腾讯云云鼎实验室自主研发的AI深度审计引擎与静态分析工具Xcheck，旨在应对AI时代下漏洞数量激增、传统代码审计手段遭遇性能与精度瓶颈的双重挑战。

AI能力突飞猛进，但用AI挖漏洞仍面临多重现实障碍

今年以来，AI在漏洞挖掘方向持续取得突破性进展：某头部大模型厂商成功发现一个潜伏长达27年的高危漏洞；在其主导的AI网络安全专项中，上线首月即识别出超10000个高风险漏洞，经人工复核后真阳性率高达90%以上。得益于强大的语义理解与上下文推理能力，大模型能够精准捕捉SAST（静态应用安全测试）工具长期难以覆盖的深层逻辑缺陷。然而，若直接将大模型用于企业级源码扫描，实际效果却差强人意。腾讯云云鼎实验室实测表明：全量输入代码会导致模型注意力被海量非关键代码稀释，不仅推理成本陡增，漏报率反而显著上升；同一代码仓库重复运行10次，检出结果波动剧烈，稳定性无法满足CI/CD流水线对确定性的严苛要求；更突出的问题在于，“AI三分钟找到漏洞，安全工程师三天才能确认”，人工验证负担并未实质性减轻。

自研AI深度审计引擎携手Xcheck，打造“发现—验证—沉淀”全链路闭环

针对上述痛点，CodeBuddy Security提出“双引擎协同 + 工程化治理”的系统性方案：以云鼎实验室自研AI深度审计引擎为智能核心，依托CodeBuddy技术底座，专精于识别跨模块内存安全问题、协议状态机异常及复杂业务逻辑漏洞；Xcheck则聚焦已知模式漏洞的高效筛查，支持私有化部署、源码不出域，具备高确定性与低延迟优势。二者并行扫描、独立输出、结果融合去重，实现能力互补。

在扫描策略层面，系统首先基于代码库结构与历史Commit信息动态识别高风险模块，AI引擎仅聚焦单模块及其关联热点路径，通过多轮渐进式分析完成全域覆盖，有效规避注意力分散问题。在验证环节，引入独立二次校验机制——从零重建漏洞上下文，严格复现触发路径，剔除AI单次推理中因“过度自信”导致的幻觉误报；最终关卡则在隔离沙箱环境中构建真实目标运行态，由AI引擎自动生成PoC并执行验证，交付给安全团队的是附带可复现PoC的确凿漏洞，而非需人工排查的疑似线索。此外，所有经AI确认的有效漏洞路径，将自动提炼为Xcheck新规则，后续同类问题可由静态引擎直接识别，实现AI能力向规则资产的可持续沉淀。

目前，CodeBuddy Security已在众多主流开源基础设施、深度学习框架及底层系统组件中完成大规模验证，并已向NVIDIA、Google、Meta、Apache、Mozilla、OISF等国际知名科技企业与开源社区提交多个高质量漏洞报告，全部获得官方确认与致谢。与此同时，该方案已逐步嵌入腾讯内部发布流程，在代码上线前提供前置安全拦截能力，切实降低业务系统暴露风险。

现阶段，CodeBuddy Security已面向企业用户开放试用通道，致力于为企业级代码安全审计提供更智能、更稳定、更高效的全新选择。