6 月 5 日，在 2026 腾讯云 AI 产业应用大会上，腾讯云发布代码安全产品 CodeBuddy Security，该产品将腾讯云云鼎实验室自研的 AI 深度审计引擎与静态分析工具 Xcheck 结合起来，解决 AI 时代漏洞激增、传统代码审计遭遇天花板的痛点。

AI 能力飙升，但利用 AI 挖漏洞仍需跨越几道坎

今年以来，AI 在漏洞挖掘领域屡屡突破，某大模型公司找到了一个藏了 27 年的漏洞，在其发起的 AI 网络安全项目中首月就挖出超 10000 个高危漏洞，人工复审真阳性率超过 90%。大模型的语义推理能力善于发现传统静态分析（SAST）看不到的深层逻辑漏洞，但直接拿大模型做企业级代码扫描，效果并不理想。腾讯云云鼎实验室对比测试发现，将代码全量喂给模型，海量无关代码稀释了注意力，成本高且漏报反而飙升；同一个仓库跑 10 次，检出结果波动大，无法进入对稳定性有硬要求的发布流水线；更关键的是，"AI 找洞 3 分钟，安全人员确认 3 天 "，人工审查负担并没有降下来。

腾讯自研 AI 深度审计引擎结合 Xcheck，构建漏洞挖掘与验证闭环

针对于 AI 挖漏洞的存在的问题，CodeBuddy Security 的解法是 " 双引擎协同 + 工程化约束 "。将腾讯云云鼎实验室自研的 AI 深度审计引擎与静态分析工具 Xcheck 结合起来，AI 深度审计引擎以 CodeBuddy 为底座，专攻 SAST 难以追踪的跨模块内存安全缺陷、协议状态机问题及业务逻辑漏洞；Xcheck 支持私有化部署、源码不出网，在已知特征漏洞的筛查上速度快、结果确定。两路并行独立扫描，结果合并去重。

在扫描策略上，系统先从代码库内部和历史 Commit 中定位高风险模块，AI 引擎每次只处理一个模块及其关联热点，多轮渐进覆盖，避免注意力稀释。在验证环节，系统引入独立二次校验，从零重新校验漏洞代码是否真实存在、触发路径是否可行，过滤单次分析中的 " 自我确信 " 幻觉；最后一关在隔离沙箱中搭建目标环境，由 AI 引擎编写 PoC 并实际执行，安全人员拿到的是带 PoC 的确证漏洞，而非待排查的疑似发现。AI 确认的漏洞路径还会自动沉淀为 Xcheck 检测规则，下次由静态引擎直接分析，不再重复消耗算力。

目前，CodeBuddy Security 已在大量主流开源基础设施、深度学习框架和底层系统模块中得到验证，陆续向 NVIDIA、Google、Meta、Apache、Mozilla、OISF 等企业及社区提报多个有效漏洞并协助完成修复，并获得官方确认与致谢。同时，该方案已逐步接入腾讯内部发布流水线，在代码上线前为业务规避安全风险。

目前，CodeBuddy Security 已面向企业开放试用，为企业代码安全审计提供更高效的解决方案。