3月23日，泛联新安联合复旦大学系统软件与安全实验室，正式发布新一代应用安全智能体--代码钟馗，以全自主可控的技术实力重新定义漏洞挖掘，为企业筑牢代码安全防线。代码界的"钟馗"如何"捉鬼"？本文带你一探究竟。

AI 火爆全球，同步引发安全圈焦虑。AI Coding 时代，代码量爆发式增长让人工审查不堪重负，传统审计工具纷纷失效。与此同时，海量误报吞噬开发效率，真正致命的逻辑漏洞却隐藏在 AI 的"幻觉"之下。安全风险急剧放大，代码质量和可控性面临前所未有的挑战。此时，代码钟馗横空出世。

1、先看结果

不谈空话，代码钟馗已在真实战场证明实力：

0day挖掘能力：在10个知名开源Java Web应用中，发现50+个0day漏洞，其中27个已获得CVE编号；

准确率碾压：某互联网头部企业内部数据集测试，准确率65.5%、召回率61%，相比baseline提升20%以上；

API安全：在700+开源API测试中，精确率达到82.8%，较基线LLM提升45.8%。

2、实力全面跃迁

当代码审查的深度积累 插上AI的翅膀

平台突破传统漏挖“人工主导、多工具割裂、效率低”领域知识和自研的DTCoder大模型，利用多Agent协同与大模型语义理解，模拟安全审计专家对代码进行深度全面审查。

不仅能突破传统SAST工具的能力盲区，能够识别业务逻辑缺陷、访问控制绕过等高度依赖人工分析的复杂漏洞，更能实现从自动化挖掘、精准验证到智能修复的一站式交付，为应用安全打造完整安全闭环。

3、四大核心能力

定义新一代应用安全

1.深度语义理解：精准捕获“隐形炸弹”

传统工具靠死板规则，代码钟馗靠思维链。

我们引入多智能体（Multi-Agent）协作架构，模拟顶尖安全专家的推理过程，结合大模型语义理解与自研程序分析引擎，深度剖析多语言混合项目的业务逻辑。越权漏洞、逻辑绕过、复杂权限缺陷--这些传统工具看不懂的"弦外之音"，代码钟馗都能精准捕捉。

2.对抗式验证：让每一次报警都值得处理

误报是安全分析师的“天敌”，我们用对抗机制杀死它。

每一条告警都会经历“自我反驳”的多阶段验证。系统动态构造攻击载荷（PoC）进行复现，只有通过验证的“真漏洞”才会被呈报。这样可以确保更多真实问题被报告，更将误报率压至最低，团队聚焦真正威胁。

3.自动化闭环：从发现漏洞到修复漏洞

我们的目标不是制造问题，而是解决问题。代码钟馗实现了“检测-验证-修复”的一站式交付。在精准定位漏洞后，系统能自动生成面向漏洞类型的修复代码建议，甚至支持跨版本的补丁迁移。开发人员收到报告的瞬间，就知道如何修复。--安全左移，不是口号。

4.全栈溯源：穿透语言边界看透攻击路径

当Java代码调用C语言库，当数据在PHP后端与JavaScript前端之间流转——安全的“孤岛”就此形成。代码钟馗以统一中间表示（IR）为核心，构建横跨Java、C/C++、PHP、Python、JavaScript等多语言的统一分析底座。如同攻击路径的“透视镜”，穿透语言边界，完整还原跨调用链的数据流动，让复杂混合项目无死角可藏。

AI For Trusted Code

代码钟馗的诞生，不仅是泛联新安在AI安全领域的一次重磅落子，更是对中国数字安全产业自主可控能力的一次有力彰显。联合复旦大学系统软件与安全实验室的学术沉淀，泛联新安将继续深耕代码安全检测领域，以全闭环能力，为企业筑牢代码安全防线，让漏洞无处遁形。

‍点击文字，立即试用