阿里云正式发布“Agentic 代码安全”。该产品采用双Agent协同架构,将代码安全的检测过程拆分为两个独立智能体,通过“分工协作+结果复核”机制确保代码扫描报告的告警信息真实性和可操作性,深度识别复杂逻辑与AI生成代码风险,并验证可达性,推动代码安全向主动防御演进。
双Agent架构,扫描与验证协同
阿里云Agentic 代码安全采用创新的“双Agent协同架构”,将扫描和验证分析,基于千问大模型将安全能力Agentic原生化演进,把安全左移落地难的问题在创新架构中尝试解决。
双Agent协同引擎结构图
扫描Agent
扫描Agent基于大模型推理引擎,融合语义理解、上下文推理与跨文件追踪技术,对Gitlab CI/CD输入代码进行深度分析,精准识别SQL注入、RCE、越权访问等高危漏洞及复杂数据流风险,输出包含风险等级、调用链及置信度初评的初始漏洞报告。
验证Agent
验证Agent作为独立复核引擎,对扫描结果进行攻防双向验证,通过模拟攻击路径确认真实可达性、结合业务上下文修订危害等级并过滤误报,同时生成可视化调用链证据与自然语言修复建议,最终输出附带置信度评分及“成因 - 修复 - 确定性”三重保障的精准可信漏洞报告。
安全左移:从代码源头解决问题的难点
安全左移和代码安全,是安全行业老生常谈的一个问题。但行业现有解决方案一直存在落地难的问题,主要原因可以归纳为以下三点:
漏洞发现滞后于生产过程
前置代码检测流程受限于识别能力。
很多团队想把安全检查提前到编码阶段,但现实是:IDE插件只能看“眼前这一行”,跨文件的数据怎么流、函数怎么调用,它看不见。
代码提交进CI/CD流水线,又缺乏整体语义分析能力,高危漏洞往往合并后才被发现——这时候再改,代价翻倍,还容易引发连锁问题。结果是:开发者要么牺牲效率反复返工,要么绕过安全流程赶进度,安全反而成了开发的“绊脚石”。
AI Coding引入新风险
前置的AI生产力和滞后的安全检测能力,让落地难度加大。
根据GitHub 、Stack Overflow开发者调查及多家咨询机构的数据分析,全球40%+的新代码由AI辅助生成,在未进行专门安全提示词工程处理的情况下,初始漏洞密度高出2倍多。
这些漏洞中包含隐式权限提升、硬编码密钥、未校验输入等危险模式,传统SAST无上下文理解能力,对此类漏洞的检测,结果势必产生高误报与深层逻辑漏检。
无法满足合规要求
中国网络安全法规的监管要求及欧盟GDPR等法规对软件供应链透明度与漏洞快速响应,提出严格要求。
传统安全工具仅能提供静态的组件列表,缺乏对软件清单中复杂依赖关系、潜在投毒路径及运行时行为的动态映射能力。
传统“黑盒扫描”模式,使企业在面对类似Log4j的供应链攻击时,难以快速定位风险源头并阻断威胁,在应对监管审计与落实法定安全责任时面临合规压力。
阿里云 Agentic 代码安全四大功能
支持多种语言,支持CI/CD自动注册
阿里云Agentic 代码安全提供多种接入方式,可在GitLab CI等主流CI/CD平台中完成一键注册。
首次接入时自动完成仓库发现、语言识别、扫描策略初始化与基线报告生成;后续每次代码提交、合并请求或定时构建均自动触发扫描任务,扫描结果以质量门禁形式返回流水线,满足不同阶段的DevSecOps成熟度诉求。
接入过程无需修改构建脚本核心逻辑,以非侵入式旁路挂载方式集成,零学习成本即可完成从“手动触发扫描”到“流水线自动管控”的安全能力升级。
SAST静态应用安全测试
基于大模型的语义理解能力,突破传统规则引擎的检测边界,阿里云Agentic 代码安全能追踪跨文件、跨模块的完整数据流和调用链,识别复杂业务逻辑中的非显性漏洞。
同时,用户可以使用自然语言生成漏洞解释与修复代码建议,结合污点调用链回溯,让开发者快速理解风险根因并完成修复。
SCA软件成分分析
Agentic代码安全可自动识别项目中所有开源组件及传递依赖,实时关联CVE漏洞库并精准匹配已知风险。
阿里云结合云安全中心多年累积的漏洞检测能力与漏洞知识图谱,突破传统SCA仅依赖组件版本与CVE列表做静态比对的检测边界,引入可达性分析与利用条件评估,区分“组件存在漏洞”与“漏洞在项目上下文中实际可被利用”,有效过滤未被实际调用、已被防御机制拦截的冗余告警,提升检出率与准确度。
POC脚本搭建环境验证,自动生成修复代码
基于扫描结果自动构造可执行的验证脚本,阿里云Agentic 代码安全可在隔离沙箱中快速复现漏洞触发条件,将静态告警转化为动态验证结果。
系统根据漏洞类型智能匹配POC模板,结合目标代码的接口签名、参数结构、鉴权机制自动生成适配的测试载荷,完成从“规则匹配告警”到“实际可利用性确认”的判定跃迁,有效过滤上下文缺失、防御机制拦截、版本差异导致的误报。
依托大模型对漏洞根因的理解与代码上下文的深度分析,阿里云Agentic 代码安全自动生成精确到行级的修复补丁。系统追踪完整的数据流路径与调用链,定位污点源与汇聚点,结合项目所使用的框架、语言版本、编码规范,生成与原代码风格一致的修复方案,提升安全闭环效率。
阿里云Agentic 代码安全落地场景
某头部零售行业客户
客户在业务项目的开发流程中逐步引入AI Coding实践。
传统厂商的SAST(静态应用安全测试)解决方案存在显著局限:
一方面,规则引擎驱动的扫描方式误报率偏高,安全团队需投入大量人力进行告警筛选与误判剔除;
另一方面,对于水平越权、业务逻辑缺陷等高度依赖上下文语义的漏洞类型,基于固定规则模式的静态分析难以覆盖,导致检出盲区。客户在交付效率与安全合规之间面临突出的平衡难题。
Agentic代码安全与传统代码安全产品存在本质差异。
其核心优势在于内生的深度语义理解能力——通过大模型对代码上下文、数据流与控制流的综合分析,突破传统规则引擎的匹配边界,实现对复杂业务逻辑漏洞的精准识别。
客户接入阿里云Agentic 代码安全后,漏洞检出率提升30%以上,告警准确率提升35%以上,有效降低了安全运营的噪声干扰,为其AI Coding转型构建了可信赖的安全护航体系。
阿里云Agentic 代码安全不是另一个代码扫描工具,目前产品开放邀测中,欢迎体验AI原生时代的代码安全检测利器。
