企业动态

    3月12日，奇安信正式推出首款代码安全智能体——Qcode Agents。作为其新成立的AI公司的首个落地成果，该产品聚焦于代码安全检测的智能化转型。

    与传统工具不同，Qcode Agents强调“多智能体协同”，凭借专家级推理、多能力集成、多场景覆盖，将安全检测深度嵌入研发流程，显著提升交付效率，推动国产代码安全检测正式迈入“全场景智能体”的闭环。

    奇安信表示，目前已创新规划研发了AI安全产品矩阵，后续将陆续推向市场，为行业客户提供更高水平的智能化安全解决方案。

    Qcode Agents是什么？用专家级大脑破解AI幻觉和逻辑盲区

    年初以来，从Anthropic推出Claude Code Security，到OpenAI发布Open Code Security，它们相继在行业内引发强烈反响，充分展现了大模型在代码语义理解、安全检测辅助等方面的巨大潜力。

    然而，AI时代，应用安全的核心矛盾已从“规则匹配速度”转向“逻辑理解的深度”。仅靠大模型驱动的自动化验证或针对AI应用新要素的扫描仍显不足，行业亟需一个能像资深专家一样思考、具备深厚实战经验和逻辑推理能力的“大脑”。

    奇安信Qcode Agents的诞生，正是为了赋予AI这个“专家级大脑”。该产品不仅全面覆盖AI供应链新要素，更将十余年一线实战经验代码化，让智能体真正“看懂”代码背后的业务逻辑，从根源上解决AI“幻觉”与逻辑盲区。

    十年实战经验，实现从“通用模型”到“领域专家”跨越

    当前市场上众多AI安全工具之所以“不准”，根源在于缺乏真正的攻防逻辑支撑。而Qcode Agents的“核心智能”，由奇安信独有的、经过十数年实战检验的漏洞挖掘经验与高价值检测规则训练而成。这一能力已全面内化为平台的MCP工具调用、专业技能执行、检测脚本编排及标准化工作流程，构成了Qcode Agents精准判断的基石。

    流程标准化：将扫描初始化、漏洞定位、路径生成等关键环节固化为智能体的标准动作，确保检测过程有章可循。

    知识资源化：对数万条高质量检测规则进行结构化重构，建立可动态调用的资源库，使智能体拥有清晰的检测路径和严谨的逻辑判断。

    这标志着Qcode Agents不再依赖“盲目猜测”，而是如同资深安全专家般精准溯源，从根本上解决了传统AI检测“无方向、逻辑弱”的痛点。

    全自动安全闭环：覆盖开发生命周期全场景

    Qcode Agents打造了“感知-分析-验证-修复-响应”的全自动安全闭环，无缝嵌入开发者从编码、提交、合并请求到持续集成/部署的每一个环节。

    感知：实时监测代码变更，即时启动分析。

    分析：调用专家级检测引擎，精准定位风险。

    验证：通过动态模拟复现漏洞触发路径，消除误报。

    修复：提供代码级修复建议，引导开发者快速闭环。

    响应：确认漏洞后自动触发修复流程，同步生成修复后的代码版本并自动验证有效性，确保风险彻底消除。

    这一闭环彻底改变了安全“滞后”于开发的局面，让安全真正成为DevOps的内生能力。

    击穿业务逻辑漏洞盲区：海量案例赋能精准检测

    业务逻辑漏洞（如越权访问、竞争条件、流程绕过）一直是传统工具的“盲区”，也是黑客攻击的重灾区。

    Qcode Agents通过沉淀海量真实攻防案例，将水平/垂直越权、并发数据不一致、业务流绕过等复杂场景，拆解为可量化的技能指令。

    深度建模：智能体能理解代码背后的业务意图、数据流转与权限控制。

    证据生成：不仅发现风险，更能生成可复现的漏洞触发路径。

    实战验证表明，Qcode Agents在业务逻辑漏洞检测上的表现呈倍数级提升，真正填补了行业在这一关键领域的空白。

    重塑AI应用供应链安全边界：从模型到MCP全要素防护

    当前，AI应用的供应链已远超传统开源组件范畴——模型文件、MCP（模型上下文协议）、Skill等新型要素成为攻击面延伸的重点。传统SCA工具面对这些新对象时，往往因缺乏检测能力、验证能力或领域知识而产生严重漏报和误报，导致最终的风险误判。

    Qcode Agents构建了覆盖AI供应链全要素的检测能力，将模型依赖、MCP工具、Skill调用链路纳入分析视野。结合奇安信在软件供应链领域近10年积累的深厚领域知识库与准确关联建模，Qcode Agents能够自动生成AI应用的软件物料清单，清晰追溯开源模型的使用，精准识别AI应用中的各种“隐形依赖”，让AI应用中的各种供应链安全风险无处遁形。

    实力印证：复现已知案例，发现主流项目潜在漏洞

    Qcode Agents的检测能力已在多项测试中得到完美验证，获得超预期表现：

    复现行业标杆：完整复现Claude Code Security发布时披露的三大典型安全漏洞，精准还原漏洞触发条件、利用路径及潜在危害场景，证明其检测逻辑的先进性。

    开源项目深度检测：选取apache-ofbiz、apache-log4j、libpng、gpac等广泛应用的知名开源项目，开展针对性深度检测，不仅成功复现对应CVE漏洞，更全面排查了业务逻辑缺陷与堆栈溢出类高危漏洞。例如，在检测Apache OFBiz时，Qcode Agents发现一处因登录验证机制不完备导致的绕过漏洞，这种语义层面的疏漏，传统静态分析根本无法识别。而Qcode Agents凭借内化的实战经验，精准理解登录场景的校验语义，成功捕获这一隐蔽缺陷。

    内测阶段重大发现：在openssl、tensorflow、opencv、memcached、RuoYi等主流开源系统与框架中，Qcode Agents已识别出10余个潜在安全漏洞，并完成初步验证与风险等级判定。

    十年磨一剑：实战是检验效果的唯一标准

    Qcode Agents的卓越表现，并非空中楼阁，而是建立在奇安信十余年代码安全深耕的坚实底座之上。

    深厚积累：奇安信是国内最早实现企业级SAST（静态应用程序安全测试）产品化的厂商之一。旗舰产品“代码卫士”支持数十种语言，覆盖数千种漏洞类型，服务1000+大型政企客户，积累了数万条经过实战验证的高质量规则。

    标杆验证：2025年初发布的“AI+代码卫士”已在北京银行、人保科技等头部金融客户中落地。数据显示，其将代码审计周期缩短超83%，人力成本降至传统模式的1/6，高危漏洞拦截率突破95%。

    结束语

    从“代码卫士”到“AI+代码卫士”，再到如今的“Qcode Agents智能体”，每一次都是紧扣实战需求的持续进步和迭代。奇安信Qcode Agents的发布并非产品的简单升级，而是将技术积累、攻防经验、客户实践融为一体，不仅让AI“看懂代码”，更是要能“理解业务”、“经验赋能”、“闭环处置”，为企业构筑一个安心、高效、可靠的代码安全体系。