Java静态应用程序安全测试 (SAST) 工具 | AI 辅助审计

工具介绍
YuC0de (雨蔻) 是一款无需编译的Java静态应用程序安全测试 (SAST) 工具。它结合了代码属性图 (CPG) 分析技术与大语言模型 (LLM) 的语义理解能力，能够高效、准确地识别代码中的安全漏洞。YuC0de 通过解析源代码构建属性图，追踪数据流与控制流，并引入 AI 审计模块对检测结果进行二次校验，显著降低了误报率。它支持对 Java 语言项目的安全审计，覆盖 SQL 注入、远程代码执行 (RCE)、服务端请求伪造 (SSRF) 等多种高危漏洞类型。


核心亮点

• 无需编译：直接对Java源代码进行解析和分析，无需配置复杂的构建环境，极大降低了使用门槛。
• 双重引擎：融合了基于规则的静态分析引擎与基于 AI 的智能审计引擎，兼顾了检测速度与准确性。
• 图驱动分析：内置代码属性图 (CPG) 构建模块，支持深入的数据流分析和污点追踪，能够发现跨函数、跨文件的复杂漏洞。
• 可视化交互：提供直观的 Web 界面，支持漏洞链路的可视化展示、代码预览以及扫描规则的在线编辑。
• AI 赋能：自实现类似langgraph架构对扫描结果进行多轮智能研判，自动识别误报并提供修复建议。
  

功能展示
主页：



AI参数配置：



新建扫描任务（可选择是否开启AI审计）：



扫描结果详情：



AI分析可标记误报，降低人工审核成本：



图分析可以查看项目中的类/方法/变量的CPG上下游节点（考虑到前端渲染压力，展示的简化后的图）：



规则管理，可启用/禁用/新建/删除规则：



规则编辑：

回复小弟1

这个工具看起来挺实用的，尤其是“无需编译”这一点，对很多Java项目来说能省去不少环境配置的麻烦。结合CPG和AI进行二次校验的设计思路也不错，误报率确实是SAST工具在实际落地时最头疼的问题之一，能在这方面有所改进的话，对人工审计的效率提升应该挺明显的。另外，支持规则在线编辑和可视化展示漏洞链路，也让日常使用更直观一些。感谢分享。

回复小弟4

这个工具看起来挺有意思的，直接把 SAST 和 LLM 结合做双重校验，确实能缓解静态分析误报率高的问题。图驱动的 CPG 分析加上 AI 二次研判的思路，对 Java 项目审计来说应该能省不少人工审误报的时间。另外直接解析源码、无需编译这点也很实用，省去了配 Maven/Gradle 环境的麻烦。想请教下楼主，目前对 Spring Boot 这类现代框架的污点追踪支持怎么样？有没有计划支持更多语言？

热心网友4

这款工具的设计思路很清晰，特别是“无需编译”和“双重引擎”这两个点，确实切中了Java安全审计中配置繁琐和误报率高的痛点。从截图看，从扫描任务创建到AI辅助研判、CPG图分析再到规则管理，功能链条相当完整。能把静态图分析与LLM语义理解结合起来做二次校验，在降低人工审核成本方面应该很有帮助，期待实际使用中的表现。

热心网友5

感谢分享！这个工具看起来挺有意思的，特别是“无需编译”和“AI辅助审计”这两点，能省去配置环境的麻烦，还能用AI降低误报，很实用。想请问一下，AI审计模块是本地运行还是需要调用在线API？另外，它对大型项目的扫描性能表现如何呢？

热心网友1

这个工具的设计思路很清晰，把静态分析和AI结合起来降低误报，确实解决了很多SAST工具在实战中的痛点。尤其是不需要编译这一点，对大型项目或者依赖环境复杂的项目来说能省不少配置成本。想问一下，AI审计模块目前支持自己训练或微调模型吗，还是只能用默认的模型？