CodeGuard 用 132 个真实 CVE 场景 + Docker PoC 动态验证,为 AI 编程工具生成代码做可量化的安全评分,并通过 GitHub Webhook 实时检测 PR 中引入的 CVE 漏洞模式,零误报告警。
申请商业授权评测 + 防护,覆盖 AI 编程工具的安全闭环
对 GPT-4o、Claude、Gemini、Copilot 等 AI 编程工具生成的代码做安全评分。通过 132 个真实 CVE 场景 + Docker PoC 动态验证,输出可量化、可复现、可对比的安全报告。
开发者(或 AI 工具)提交 PR 时,自动检测是否引入已知 CVE 漏洞模式。每条告警都有 Docker PoC 动态验证,零误报。结果自动回写为 commit status + PR 评论。
真实漏洞、动态验证、零误报是我们的底线
每个 CVE 实例都配有专用 Docker 镜像 + 可执行的 PoC exploit + 功能测试用例。不是静态扫描,是真正跑起来看漏洞是否存在。
在 BM25 全文检索基础上融入 AST 代码结构分析,支持 6 种语言(C/C++/Java/Python/PHP/JS)的精准上下文补全。
修复了原版评分漏洞(全失败得满分的 BUG),引入严重性加权:Critical 漏洞的权重远高于 Low,让分数真正反映风险。
支持 Claude Code、Gemini CLI、OpenAI Codex、Aider 等主流 Agent 代码生成框架,统一 AgentMetrics 指标追踪行为。
配置 Webhook 指向 `POST /webhook/github`,PR 提交自动触发扫描。结果回写 commit status + PR 评论,开发者零感知接入。
Docker 镜像首次编译后缓存复用,增量扫描基于漏洞文件 mtime 判断,单次 PR 扫描从分钟级降到秒级。
132 个真实 CVE,来自 51 个 GitHub 真实项目
给 AI 编程时代的代码安全托底
采购 AI 编程助手前,用 CodeGuard 对候选工具做横向安全评测,数据驱动决策。别只看代码质量,还要看安全底线。
模型迭代时持续跑安全评测,确保新版本不在安全性上回退。每次训练后自动出对比报告,量化安全能力变化。
接入 GitHub Webhook,PR 提交自动扫描引入的 CVE 模式。零误报意味着可以作为 CI 阻断条件,真正起到安全门禁作用。
安全研究团队可用作标准化基准,对比不同模型、不同 Prompt 策略、不同上下文的安全影响。132 个场景可复现、可扩展。
想在企业内部署 AI 代码安全评测平台,或把 CVE 回归检测接入 GitHub 工作流?欢迎联系我们获取商业授权与部署方案。
联系我们CodeGuard 基于 Tencent/AICGSecEval (A.S.E) 开源框架深度增强,遵循 Apache-2.0 协议。感谢腾讯安全平台部及合作高校(复旦、北大、上交、清华、浙大)的原始数据集与研究贡献。