让代码漏洞挖掘像呼吸一样简单，小白也能轻松挖洞

🤖 Agent 审计入口

首页快速进入 Multi-Agent 深度审计

📋 审计流日志 实时查看 Agent 思考与执行过程	🎛️ 智能仪表盘 一眼掌握项目安全态势
⚡ 即时分析 粘贴代码 / 上传文件，秒出结果	🗂️ 项目管理 GitHub/GitLab 导入，多项目协同管理

📊 专业报告

一键导出 PDF / Markdown / JSON（图中为快速模式，非Agent模式报告）

👉 查看Agent审计完整报告示例

DeepAudit 是一个基于 Multi-Agent 协作架构的下一代代码安全审计平台。它不仅仅是一个静态扫描工具，而是模拟安全专家的思维模式，通过多个智能体（Orchestrator, Recon, Analysis, Verification）的自主协作，实现对代码的深度理解、漏洞挖掘和 自动化沙箱 PoC 验证。

我们致力于解决传统 SAST 工具的三大痛点：

• 误报率高 — 缺乏语义理解，大量误报消耗人力
• 业务逻辑盲点 — 无法理解跨文件调用和复杂逻辑
• 缺乏验证手段 — 不知道漏洞是否真实可利用

用户只需导入项目，DeepAudit 便全自动开始工作：识别技术栈 → 分析潜在风险 → 生成脚本 → 沙箱验证 → 生成报告，最终输出一份专业审计报告。

核心理念: 让 AI 像黑客一样攻击，像专家一样防御。

DeepAudit 采用微服务架构，核心由 Multi-Agent 引擎驱动。

DeepAudit/
├── backend/                        # Python FastAPI 后端
│   ├── app/
│   │   ├── agents/                 # Multi-Agent 核心逻辑
│   │   │   ├── orchestrator.py     # 总指挥：任务编排
│   │   │   ├── recon.py            # 侦察兵：资产识别
│   │   │   ├── analysis.py         # 分析师：漏洞挖掘
│   │   │   └── verification.py     # 验证者：沙箱 PoC
│   │   ├── core/                   # 核心配置与沙箱接口
│   │   ├── models/                 # 数据库模型
│   │   └── services/               # RAG, LLM 服务封装
│   └── tests/                      # 单元测试
├── frontend/                       # React + TypeScript 前端
│   ├── src/
│   │   ├── components/             # UI 组件库
│   │   ├── pages/                  # 页面路由
│   │   └── stores/                 # Zustand 状态管理
├── docker/                         # Docker 部署配置
│   ├── sandbox/                    # 安全沙箱镜像构建
│   └── postgres/                   # 数据库初始化
└── docs/                           # 详细文档

使用预构建的 Docker 镜像，无需克隆代码，一行命令即可启动：

curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.yml | docker compose -f - up -d

使用南京大学镜像站加速拉取 Docker 镜像（将 ghcr.io 替换为 ghcr.nju.edu.cn）：

# 国内加速版 - 使用南京大学 GHCR 镜像站
curl -fsSL https://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.0/docker-compose.prod.cn.yml | docker compose -f - up -d

# 前端镜像
docker pull ghcr.nju.edu.cn/lintsinghua/deepaudit-frontend:latest

# 后端镜像
docker pull ghcr.nju.edu.cn/lintsinghua/deepaudit-backend:latest

# 沙箱镜像
docker pull ghcr.nju.edu.cn/lintsinghua/deepaudit-sandbox:latest

💡 镜像源由 南京大学开源镜像站 提供支持

🎉 启动成功！ 访问 http://localhost:3000 开始体验。

适合需要自定义配置或二次开发的用户：

# 1. 克隆项目
git clone https://github.com/lintsinghua/DeepAudit.git && cd DeepAudit

# 2. 配置环境变量
cp backend/env.example backend/.env
# 编辑 backend/.env 填入你的 LLM API Key

# 3. 一键启动
docker compose up -d

首次启动会自动构建沙箱镜像，可能需要几分钟。

适合开发者进行二次开发调试。

• Python 3.11+
• Node.js 20+
• PostgreSQL 15+
• Docker (用于沙箱)

cd backend
# 使用 uv 管理环境（推荐）
uv sync
source .venv/bin/activate

# 启动 API 服务
uvicorn app.main:app --reload

cd frontend
pnpm install
pnpm dev

开发模式下需要本地 Docker 拉取沙箱镜像：

# 标准拉取
docker pull ghcr.io/lintsinghua/deepaudit-sandbox:latest

# 国内加速（南京大学镜像站）
docker pull ghcr.nju.edu.cn/lintsinghua/deepaudit-sandbox:latest

📖 详细文档请查看 Agent 审计指南

💡 支持 API 中转站，解决网络访问问题 | 详细配置 → LLM 平台支持

我们正在持续演进，未来将支持更多语言和更强大的 Agent 能力。

• 基础静态分析，集成 Semgrep
• 引入 RAG 知识库，支持 Docker 安全沙箱
• Multi-Agent 协作架构 (Current)
• 支持更真实的模拟服务环境，进行更真实漏洞验证流程
• 沙箱从function_call优化集成为稳定MCP服务
• 自动修复 (Auto-Fix): Agent 直接提交 PR 修复漏洞
• 增量PR审计: 持续跟踪 PR 变更，智能分析漏洞，并集成CI/CD流程
• 优化RAG: 支持自定义知识库

我们非常欢迎您的贡献！无论是提交 Issue、PR 还是完善文档。 请查看 CONTRIBUTING.md 了解详情。

本项目采用 AGPL-3.0 License 开源。

1. 禁止任何未经授权的漏洞测试、渗透测试或安全评估
2. 本项目仅供网络空间安全学术研究、教学和学习使用
3. 严禁将本项目用于任何非法目的或未经授权的安全测试

1. 发现任何安全漏洞时，请及时通过合法渠道上报
2. 严禁利用发现的漏洞进行非法活动
3. 遵守国家网络安全法律法规，维护网络空间安全

• 仅限在授权环境下用于教育和研究目的
• 禁止用于对未授权系统进行安全测试
• 使用者需对自身行为承担全部法律责任

作者不对任何因使用本项目而导致的直接或间接损失负责，使用者需对自身行为承担全部法律责任。

有关安装政策、免责声明、代码隐私、API使用安全和漏洞报告的详细信息，请参阅 DISCLAIMER.md 和 SECURITY.md 文件。

• 🔒 代码隐私警告: 您的代码将被发送到所选择的LLM服务商服务器
• 🛡️ 敏感代码处理: 使用本地模型处理敏感代码
• ⚠️ 合规要求: 遵守数据保护和隐私法律法规
• 📧 漏洞报告: 发现安全问题请通过合法渠道上报