Aikido 代碼審計：在代碼上線前發現複雜漏洞

Aikido 近日發佈了 Code Audit 工具，旨在幫助開發團隊在代碼上線前發現隱藏在源代碼中的複雜安全漏洞。該工具利用類似 AI 的推理能力，對靜態代碼庫進行分析，能夠發現多步驟、依賴於邏輯上下文的漏洞，填補了傳統 SAST（靜態應用安全測試）與人工滲透測試之間的空白。

Code Audit 的推出背景與 AI 安全領域的最新動態密切相關。此前，Anthropic 發佈了 Claude Fable 5 模型，該模型能夠自主發現並利用零日漏洞，但因被成功越獄而被迫撤回。這一事件表明，攻擊者將越來越容易獲得強大的 AI 能力，傳統依賴規則匹配的 SAST 工具難以應對邏輯類漏洞。Code Audit 正是為了幫助防禦者利用同樣的 AI 推理能力，在代碼上線前主動發現並修復安全缺陷。

Code Audit 並非 SAST 的替代品，而是介於 SAST 和滲透測試之間的補充工具。它不依賴實時運行環境，而是直接分析源代碼，能夠跨文件、跨模塊追蹤引用，發現單行代碼本身並非漏洞的多步驟問題。每次發現都會附帶根因分析、基於代碼的證據以及自動修復建議，開發者可一鍵生成 PR 修復問題。

Code Audit 的應用場景廣泛，不僅限於 Web 應用。它同樣適用於移動應用（無需 URL 或實時構建）、智能合約（避免對已部署合約發起攻擊）、以及 SAST 支持較弱的遺留代碼庫。內部測試和早期用户反饋顯示，Code Audit 可覆蓋約 70-80% 的滲透測試發現，而成本僅為後者的十分之一左右。早期用户平均每個代碼庫發現約 25 個安全問題，所有審計均未返回零問題。

使用 Code Audit 非常簡單：從 Aikido 賬號中選擇 Code Audit 菜單，點擊創建審計，選擇一個或多個倉庫，Aikido 會估算所需的積分。添加積分後即可啓動審計，設置僅需數分鐘，審計時間視代碼庫規模和複雜度而定，最快 5 分鐘即可完成。

Aikido 鼓勵開發團隊在重大發布前或關鍵功能上線後使用 Code Audit，以將漏洞發現時機提前到開發者仍對上下文熟悉的時候，從而大幅降低修復成本。