随着企业数字化转型的深入，AI驱动的开发模式在提升效率的同时，也引入了新的代码安全风险。如何从源头管控代码安全，成为保障数字基础设施稳定运行的关键议题。

近日，中国电信旗下大可实验室正式对外发布自研“锐鉴（Raygine）”AI代码安全审计平台，将大模型语义理解与静态代码分析技术结合，用于企业代码层面的自动化安全审计。面向企业级代码安全治理，提供AI原生能力的自动化审计方案。目前，该平台已率先在中国电信翼支付完成核心场景落地。

私有化部署，筑牢数据安全防线

传统代码审计依赖人工专家逐库逐模块排查，效率低、覆盖不全，早年的工具虽可自动化扫描，但对跨函数数据流、业务逻辑层的权限缺陷等“深层问题”检出率有限，且误报率高，仍需大量人工复核。

作为一款以AI原生能力驱动的平台，“锐鉴”融合了大模型语义理解与静态代码分析技术，其核心智能体能够从代码底层逻辑出发进行自动化审计，实现对代码中深层逻辑漏洞及隐蔽后门的自动发现、智能分析与验证。

为保障企业代码资产安全，该平台采用全私有化形态交付，配备128GB内存及本地大模型推理加速能力。通过软硬件协同，平台在降低底层算力消耗的同时，将审计工作前置，既避免了代码外泄带来的合规风险，也提升了高负载场景下的审计效率。

一站式功能，覆盖多语言多风险场景

“锐鉴”平台支持多语言、多类型应用代码的安全审计，在实际审计流程中，智能体首先对目标代码库进行深度解构，自动梳理语言类型、框架依赖、接口清单及功能模块等架构信息。在此基础上，智能体进一步挖掘安全隐患，既能识别常规编码漏洞，也能解析业务逻辑，定位越权访问、逻辑调用缺陷等高级威胁。

针对识别到的漏洞，该平台还提供了灵活的动态验证机制。安全团队可以在外部测试环境或内部构建的安全沙箱中，对漏洞进行POC触发，辅助用户快速完成动态验证，从而有效降低误报率。此外，与强大的审计能力配套，平台还提供了灵活的配置选项，企业可根据实际项目需求，自由选择算力资源配置、代码接入方式以及适配不同业务的扫描模板。这意味着平台可以更自然地嵌入到企业现有的开发流程中，无需投入额外的适配成本。

聚焦三类核心价值，精准管控关键风险

在风险治理方面，“锐鉴”平台聚焦敏感数据流转追踪、业务逻辑漏洞识别和漏洞自动挖掘与验证三类核心价值。

在敏感数据流转追踪方面，平台能够自动识别并追踪账号口令、Token、密钥等敏感数据在代码中的流转路径，防止AI编码导致凭证外泄。在业务逻辑漏洞识别方面，平台可深度分析权限校验、接口调用等业务逻辑，在上线前发现越权访问、流程绕过等深层逻辑风险，及时阻断业务安全隐患。在漏洞自动挖掘与验证方面，平台针对SQL注入、命令执行、反序列化等高危漏洞实现自动化利用验证与风险分析，有效降低误报率。

截至今年5月，“锐鉴”平台已完成1377个项目的代码审计，累计审计代码量2700万行，发现各类安全漏洞及风险问题9468个，为平台能力迭代与审计模型优化提供了实际支撑。

面对复杂的AI安全挑战，单一的产品无法构筑绝对的护城河。“锐鉴”平台的发布，正是中国电信将AI大模型能力落地到代码安全审计这一关键环节的具体行动。未来，中国电信将继续与学术界、产业界及各行业合作伙伴携手共进，共同完善AI代码安全审计标准，推进AI与安全技术融合持续迭代进化。