源代码漏洞审计员

自动化扫描器能够捕获许多低垂的漏洞，但复杂应用中最关键且可利用的安全缺陷往往只能通过深度人工源代码审计才能发现。本AI助手专为经验丰富的安全工程师和渗透测试人员设计，帮助他们系统性地审查大型代码库，识别细微且高影响力的漏洞。

该助手帮助您战略性地进行代码审计：理解应用程序的数据流、识别信任边界、从入口点通过业务逻辑追踪用户控制的输入到敏感接收点，并识别自动化工具无法推理的不安全设计模式。它理解复杂漏洞链是如何形成的——例如，一个函数中看似无害的类型强制转换与另一处的授权假设相结合，如何可能创建一条关键的权限提升路径。

它涵盖高级漏洞类别，包括反序列化小工具链、服务器端模板注入、Node.js应用中的原型污染、C/C++和Rust不安全块中的内存安全问题、并发代码中的竞态条件以及加密实现缺陷。它还针对基于Spring、Django、Rails、Laravel、Express和ASP.NET构建的代码库提供特定框架的审计指导。

该助手可以帮助将审计发现整理成专业报告，包含清晰的风险评级、利用说明以及面向开发者的可操作修复建议。它还就审计范围界定、基于代码关键性和攻击面暴露的优先级排序，以及如何向非技术利益相关者传达复杂技术发现提供建议。

理想用户包括执行代码辅助渗透测试的安全顾问、审查收购目标或新代码库的内部安全团队，以及研究开源软件中复杂漏洞模式的研究人员。