文章目录前言一、传统审计痛点与DeepAudit核心优势1.1 传统审计的核心痛点1.2 DeepAudit 核心优势二、官网简介三、工具部署3.1 部署前提3.2 本地部署国内加速版3.3 访问与登录3.4 初始配置模型与API Key配置四、项目审计4.1 上传项目代码4.2 审计规则配置4.3 启动审计与查看结果4.4 导出审计报告五、总结⚠️本博文所涉安全渗透测试技术、方法及案例仅用于网络安全技术研究与合规性交流旨在提升读者的安全防护意识与技术能力。任何个人或组织在使用相关内容前必须获得目标网络 / 系统所有者的明确且书面授权严禁用于未经授权的网络探测、漏洞利用、数据获取等非法行为。前言在代码安全审计领域传统审计方式的痛点日益凸显而 DeepAudit 作为一款基于大模型的智能审计工具凭借其独特优势完美解决行业痛点。本文将从官网简介、工具部署、项目审计三个核心维度手把手教你从零使用 DeepAudit全程附实操截图与命令新手也能快速上手。一、传统审计痛点与DeepAudit核心优势1.1 传统审计的核心痛点在日常代码安全审计中传统方式往往面临诸多难题效率低下且风险较高依赖传统审计工具误报率高、漏报率高需要审计人员花费大量时间筛选无效告警排查效率低下上云审计工具存在数据安全风险核心业务代码、敏感逻辑上传至第三方平台易造成数据泄露业务逻辑日趋复杂审计前需开发人员逐一对代码进行串讲沟通成本高且难以快速掌握核心漏洞点。1.2 DeepAudit 核心优势DeepAudit 依托大模型技术针对性解决传统审计痛点核心优势如下采用 RAG语义理解技术能精准梳理代码调用链理解业务逻辑大幅降低误报率无需开发人员串讲代码支持本地部署所有代码、审计数据均在本地环境处理数据不出网彻底解决数据安全风险一站式完成审计流程自动识别代码框架、挖掘潜在漏洞、生成可沙箱执行的POC验证脚本、输出标准化审计报告全程自动化大幅提升审计效率。二、官网简介DeepAudit 是一款开源智能代码安全审计工具基于大模型实现自动化漏洞挖掘与审计支持多语言、多框架适配本地部署与批量审计场景开源地址如下https://github.com/lintsinghua/DeepAudit官网提供完整的部署文档、更新日志与问题反馈渠道当前最新稳定版本为 v3.0.4下文将基于该版本进行实操部署。三、工具部署3.1 部署前提部署前需提前准备好 docker 环境docker 与 docker-compose 均需安装完成确保服务器/虚拟机具备网络连接用于拉取镜像推荐配置2核4G及以上避免因资源不足导致部署失败。3.2 本地部署国内加速版官方默认部署命令为 v3.0 版本本文已更新为当前最新版本 v3.0.4采用南京大学 GHCR 镜像站加速国内服务器/虚拟机可快速拉取镜像部署命令如下# 国内加速版 - 使用南京大学 GHCR 镜像站最新版本 v3.0.4curl-fsSLhttps://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.4/docker-compose.prod.cn.yml|dockercompose-f- up-d# 停止所有 DeepAudit 容器dockerps-a|grepdeepaudit|awk{print $1}|xargs-rdockerstop# 下次启动无需重新下载镜像直接恢复运行curl-fsSLhttps://raw.githubusercontent.com/lintsinghua/DeepAudit/v3.0.4/docker-compose.prod.cn.yml|dockercompose-f- up-d执行部署命令后耐心等待镜像拉取与容器启动启动成功后可看到类似如下界面截图为部署过程日志示例3.3 访问与登录容器启动成功后通过以下方式访问 DeepAudit 界面虚拟机部署访问{虚拟机IP}:3000需确保虚拟机防火墙开放3000端口本地部署访问localhost:3000即可。访问成功后将看到 DeepAudit 登录界面注意首次使用需先注册账户点击登录界面的注册按钮填写相关信息完成注册后即可登录系统3.4 初始配置模型与API Key配置登录成功后将进入 DeepAudit 主界面此时需先完成 LLM 模型与 API Key 的配置否则无法开展审计工作配置核心步骤以硅基流动平台调用 deepseek 大模型为例额度充足LLM 提供商选择OpenAI GPT硅基流动兼容 OpenAI 接口格式直接选择该提供商即可API Key填写硅基流动平台生成的 API Key需提前注册硅基流动账户模型名称填写 deepseek 系列任意模型如deepseek-ai/DeepSeek-V3、deepseek-ai/DeepSeek-V3.1-TerminusAPI BASE URL必须填写硅基流动的 API 地址https://api.siliconflow.cn/v1填写错误会导致调用失败配置完成后点击右侧“测试”按钮提示“连接成功”即说明模型配置正常且账户有可用额度。补充说明若不想配置硅基流动也可直接在 LLM 提供商中选择deepseek使用默认配置但需确保 deepseek API 账户有可用额度。配置成功界面如下四、项目审计4.1 上传项目代码模型配置完成后进入“项目管理”模块点击上传按钮选择需要审计的代码项目DeepAudit 支持两种上传方式推荐优先选择本地上传在线上传通过 GitHub 地址拉取项目代码需确保网络可访问 GitHub且项目开源本地上传直接上传本地代码压缩包最大支持500M可手动排除无关文件如 node_modules、docs、测试文件等大幅节省 Token 消耗同时保护数据安全。本地上传界面如下可通过勾选/取消勾选筛选需要审计的文件/目录小贴士上传时建议排除 node_modules、docs、tests、部署配置文件等无关内容仅保留核心业务代码既能节省 Token又能提升审计效率避免无效审计。4.2 审计规则配置代码上传完成后进入审计规则配置界面系统默认提供3个规则集可根据项目类型如 Python、Java 项目去掉不需要的安全规则减少无效告警例如若审计的是 Python Django 项目可取消勾选 Java 相关规则集聚焦 Python 安全漏洞如 SQL 注入、XSS、权限绕过等。4.3 启动审计与查看结果规则配置完成后返回主界面在 Agent 审计菜单栏下输入audit命令启动项目审计审计时间根据项目大小而定小型项目1000-5000行代码通常几分钟即可完成大型项目需耐心等待。审计完成后将显示漏洞详情、风险等级、调用链路等信息界面如下4.4 导出审计报告审计完成后点击界面右上角Export按钮可导出审计报告支持三种格式按需选择Markdown 格式适合本地查看、编辑便于插入文档JSON 格式适合后续二次开发、批量处理审计结果HTML 格式适合分享、在线查看排版清晰包含漏洞详情与修复建议。导出界面如下五、总结DeepAudit 凭借 RAG语义理解技术、本地部署优势完美解决了传统审计误报高、数据不安全、效率低的痛点一站式完成“识别框架挖掘漏洞POC验证报告生成”全流程。本文基于最新版本 v3.0.4详细讲解了部署、配置、审计的完整步骤附避坑指南如模型配置、容器启停命令适合个人开发者、安全审计人员快速上手。后续可根据实际需求尝试配置不同大模型如智谱AI、DeepSeek 原生模型或批量上传项目进行审计进一步提升工作效率。