导语:泛联新安代码钟馗:新一代AI应用安全智能体,守护代码安全。
近期,泛联新安代码钟馗在日常扫描中,通过AI自动化挖掘出开源AI Agent框架OpenClaw的高危持久性注入漏洞。该漏洞允许攻击者通过一次恶意消息注入,实现对目标机器的持久化控制,导致权限提升、敏感数据窃取等风险。目前已上报至工信部NVDB平台,进入处置流程。
令人惊叹的是,这次挖掘过程仅消耗200万token,耗时30分钟。更关键的地方在于——它验证了一个关键命题:AI驱动的自动化漏洞挖掘,已经走向“全面实战”。
技术解析:代码钟馗是如何做到的?
01 自研核心能力:让Agent“有脑更有手”
行业里很多智能体的问题在于:看起来很聪明,但“没有趁手工具”,只能疯狂消耗token进行纯推理。泛联新安选择了一条更艰难但更扎实的路:先把底层能力做到极致,再让AI调用。
采用AI+泛联新安程序分析技术精准构建调用关系、数据流、控制流等程序代码抽象语义信息,提供给大模型作为分析依据,实现更加高效、精准的代码安全风险扫描和漏洞挖掘。
让LLM从“纯推理”变成“推理+工具协同”,为智能体提供工业级可靠底层支撑。结果是显著的:token消耗降低80%以上、分析速度大幅提升、结果更加稳定可靠。
02 Multi-Agent智能体协同:真正的自主挖掘
不是简单堆Agent,而是打造具备调度、规划、拆解能力的智能体系统。
核心能力体现在:
智能拆解:把大型项目分解为可管理的分析单元
按需唤醒:在关键分析瓶颈处,针对不同漏洞类型调用最合适的专业分析模型
动态选择:LLM推理or程序分析工具,根据场景自动切换最优策略
在OpenClaw漏洞挖掘过程中,代码钟馗的Multi-Agent系统自主完成了任务拆解→模块扫描→语义分析→路径验证的全流程,全程无需人工干预。
03 复杂场景沉淀:真正落地的高性能
很多AI安全产品的问题是:能跑Demo,但跑不了生产环境。实验室里表现挺好,一到真实战场就拉胯。
代码钟馗的能力来自真实场景千锤百炼——已在航空、航天、汽车、工控等高端制造行业落地,面对大规模代码库与复杂业务逻辑,依然稳定运行。
卓越降本增效:200万token,30分钟
token消耗80%,效果却更精准。关键在于几个点:
增量分析模式:只分析“该分析的”
基于代码变更影响域分析,仅关注变更及关联代码。无需全量扫描,分析速度大幅提升,延迟极低,可无缝接入IDE与CI/CD流水线。分析时间可从“小时级”降到“分钟级甚至秒级”。
同时采取关键技术,结合多线程子任务拆解、并行执行、模块化复用及语义摘要机制等,避免重复推理与计算,实现效率提升的同时,降低token消耗。
企业研发场景:代码安全审计是认真的
对于企业研发团队来说,代码钟馗的价值不仅是“能挖漏洞”,而是让安全真正融入研发流程:
IDE插件:开发时实时检测,出了问题当场拦截
CI/CD集成:代码提交自动扫描,漏洞别想溜进生产环境
增量扫描:只扫改动的部分,不影响开发效率
这意味着:安全左移,从“事后补救”变成“开发阶段就拦截”。 企业也能拥有过去只有安全专家才有的漏洞挖掘能力。
行业启示:AI驱动的漏洞挖掘新范式
代码钟馗自动挖掘OpenClaw漏洞,带给行业三个关键启示:
01 从“事后补救”到“事前预防”
传统安全模式下,漏洞往往在被黑帽利用后才被发现,属于“事后补救”。代码钟馗让开发阶段即可发现潜在漏洞,降低漏洞被黑帽利用的风险窗口——这是从被动防御到主动预防的根本转变。
02 从“专家专属”到“普惠安全”
漏洞挖掘曾经是安全专家的专属领域,成本高昂且人才稀缺。代码钟馗降低安全分析的门槛,让每个开发团队都能获得企业级漏洞挖掘能力——这是安全能力的普惠化。
03 从“规则驱动”到“智能驱动”
传统静态分析依赖人工编写检测规则,覆盖面有限且难以适应新漏洞类型。代码钟馗通过AI自主理解代码语义,发现未知类型漏洞——这是从规则引擎到智能引擎的代际跨越。
结语
2026年的安全圈,AI正在重构代码安全的边界。
代码钟馗自动挖掘OpenClaw漏洞,验证了一个关键命题:通过“自研底座+Multi-Agent+增量分析”的三重能力,漏洞挖掘正在从“不可控”变成“可编排、可优化”。
泛联新安,致力于引领可信智能开发。以AI作为核心驱动力,通过高智能、高质量、高安全的三重标准,确保代码从开发到交付的全链路可信。
扫描二维码,立即试用:
如若转载,请注明原文地址
