简而言之：合气道代码审计填补了静态应用程序安全测试（SAST）与渗透测试之间的空白，通过推理您的静态代码库，以在代码发布之前发现多步骤、依赖意图的漏洞。上周，Anthropic 发布了 Claude Fable 5，这是他们 Mythos 级模型的公众版本，能够发现和连接零日漏洞。Fable 5 配备了阻止网络安全查询的保护措施，并回落到一个更有限的模型，因此公众版本并不会为您执行这些攻击。至少这是初衷。但似乎有一个或多个组织成功地破解了 Fable 5，这导致 Anthropic 在美国政府的压力下撤回了该模型。问题是，您无法将魔鬼重新封回瓶子里。无论是通过越狱还是开源，攻击者都会获得越来越强大的模型。方向已经确定。找到并连接应用程序中的缺陷所需的技能和时间正在崩溃成一种代理可以在没有数小时或数天人力努力的情况下完成的任务。这对于现有静态代码分析引擎无法覆盖的基于逻辑的缺陷尤其如此。这些缺陷类别遵循的模式不可预测，因此静态分析没有任何匹配依据。但防御者可以通过使用相同的代理模型，在代码上线之前分析并捕捉安全缺陷，从而保持领先地位。这就是我们构建合气道代码审计的原因。 代码审计实际上做了什么 代码审计并不是您 SAST 引擎的替代品，后者在您开发时能很好地发现基于规则的安全漏洞。它也不是渗透测试的替代品。它位于两者之间，作用于您的静态代码，提供渗透测试级别的推理。在重要发布前或主要功能上线后，请使用代码审计。它跨文件和模块跟踪引用。它揭示了多步骤的问题，而不是单独一行就是漏洞。每个发现都附带根本原因、基于代码的证据和自动修复功能，可以让您即时生成一个 PR 来解决问题。在实际操作中，这看起来像：一个跨三个文件的多步骤 IDOR 链，而基于模式的扫描仪永远不会将其连接，因为没有任何单独一行触发规则。代码审计追踪引用，跟随上下文中的缺失授权检查，并呈现完整的攻击路径。相同的概念适用于其他基于逻辑的漏洞，如从源代码中识别的 ReDoS 模式，而没有进行实时利用，或者一个从未在实际渗透测试中被触发的仅限管理员的路由，因为没有有效凭证。我相信您可以想到其他例子。由于代码审计作用于您的源代码，因此您无需活动的暂存环境或创建授权凭证。只需连接您的代码库并开始审计。如果代码存在于源中，就在范围之内：多个代码库、功能标记路径、未部署的更改以及实时测试无法安全接触的管理员路由。它不仅限于您的网络应用程序 代码审计通过静态源进行推理，而不是探测实时环境，它不受 SAST 规则覆盖或代码运行的平台限制。这意味着您可以测试：移动应用程序，无法访问 URL，且没有简单方法对实时构建施加代码路径。智能合约，您明确不希望对锁定真实价值的已部署合约进行利用尝试。具有薄弱 SAST 覆盖的遗留代码库。 基准测试 根据我们的内部测试和早期用户反馈，代码审计覆盖了大约 70-80% 的完整渗透测试结果，成本约低 10 倍。早期用户发现每个代码库平均有 ~25 个安全问题（中位数），没有审计结果干净。 但发现的问题数量只是次要的，时机更为关键。在发布之前发现漏洞只需进行代码更改，而开发人员仍然具备上下文意识。在它上线后发现，可能需要一个补救周期并从其他项目中拉走开发人员来修复它。代码审计将发现时间移到了代码发布之前，此时负责该代码的开发人员仍然具备完整的上下文，修复工作也非常简单。 如何开始 从您的合气道帐户中，在菜单中选择代码审计并单击创建审计。从那里选择一个或多个代码库，合气道将估计所需的积分费用。为您的帐户添加积分并开始审计。设置只需几分钟，而审计根据代码库的大小和复杂性通常只需 5 分钟。 执行您的第一次代码审计。