腾讯推出CodeBuddy Security，用AI Agent提升代码审计效率

6月5日，在2026腾讯云AI产业应用大会上，腾讯云正式推出代码安全产品CodeBuddy Security。该产品将腾讯云云鼎实验室自研的AI深度审计引擎与静态分析工具Xcheck结合起来，瞄准AI时代漏洞数量快速增加、传统代码审计逐步触及瓶颈等难题。

AI能力进步很快，但想用AI高效挖漏洞仍有几道关要过

今年以来，AI在漏洞挖掘方面不断取得进展。某大模型公司发现了一个隐藏了27年的漏洞，在其发起的AI网络安全项目中，仅首月就找出了超过10000个高危漏洞，人工复核后的真阳性率超过90%。大模型的语义推理能力，确实更容易发现传统静态分析（SAST）难以识别的深层逻辑漏洞。但如果直接把大模型用于企业级代码全量扫描，实际效果并不理想。腾讯云云鼎实验室在对比测试中发现，把整套代码全部交给模型处理后，大量无关代码会分散模型注意力，不仅成本更高，漏报还可能明显上升；同一个代码仓连续跑10次，检出结果也会有波动，难以满足发布流水线对稳定性的要求；更关键的是，常常出现“AI几分钟找到漏洞，安全人员却要花几天确认”的情况，人工复审压力并没有真正减轻。

腾讯自研AI深度审计引擎配合Xcheck，形成漏洞挖掘和验证闭环

针对AI挖漏洞过程中暴露出的这些问题，CodeBuddy Security给出的方案是“双引擎协同+工程化约束”。它把腾讯云云鼎实验室自研的AI深度审计引擎与静态分析工具Xcheck组合使用。AI深度审计引擎以CodeBuddy为底座，重点处理SAST不容易追踪的跨模块内存安全缺陷、协议状态机问题以及业务逻辑漏洞；Xcheck则支持私有化部署，源码无需出网，在排查已知特征漏洞时速度更快、结果也更稳定。两套引擎并行独立扫描，最后再对结果进行合并和去重。

在扫描策略上，系统会先从代码仓内部以及历史Commit中定位高风险模块，随后由AI引擎按模块逐个处理，并结合相关热点进行多轮渐进覆盖，以减少注意力被无关内容分散的问题。在验证阶段，系统加入独立的二次校验机制，从头重新核查漏洞代码是否真实存在、触发路径是否成立，尽量过滤单次分析中“自我确信”的幻觉；在最后一道环节中，系统还会在隔离沙箱内搭建目标环境，由AI引擎生成PoC并实际执行。这样一来，安全人员拿到的是附带PoC的已确认漏洞，而不是还要继续排查的疑似问题。与此同时，AI确认过的漏洞路径也会自动沉淀为Xcheck检测规则，后续可直接由静态引擎完成分析，减少重复算力消耗。

目前，CodeBuddy Security已经在大量主流开源基础设施、深度学习框架以及底层系统模块中完成验证，并已陆续向NVIDIA、Google、Meta、Apache、Mozilla、OISF等企业和社区提交多个有效漏洞，协助完成修复，同时获得官方确认和致谢。另外，这套方案也已逐步接入腾讯内部发布流水线，在代码上线前帮助业务提前规避安全风险。

目前，CodeBuddy Security已经面向企业开放试用，为企业开展代码安全审计提供更高效的解决方案。