双引擎驱动代码审计与机密计算护航大模型推理

应对AI攻防失衡与云端数据泄露风险

AI技术的规模化应用正在重塑安全边界。在攻防层面，AI 大幅降低了攻击门槛，非专业人员也能通过AI Agent与大模型实现类人推理，导致攻防天平向攻击侧倾斜，攻防节奏已从“人 vs 人”演变为“AI vs AI”。在应用层面，企业面临“算力私有化部署成本高、算力不足”与“云端调用存在敏感数据泄漏风险”的结构性矛盾。具体风险渗透至全链路：

• 模型层： 存在数据投毒、供应链漏洞及运行环境不可信风险。
• 推理层： 面临提示词注入、越狱攻击及训练数据信息泄露。
• 应用层： Agent过度授权与敏感数据经LLM泄漏风险加剧。
• 合规治理： 需应对AI生成内容合规、训练数据版权及跨境数据流动法规限制。

构建“AI for Security”与“Security for AI”双向防御体系

针对上述痛点，腾讯云安全总经理苏建东提出并落地了涵盖“以AI铸盾”与“为AI护航”的全景解决方案。

核心产品与能力

1. CodeBuddy Security（AI代码安全审计）： 采用AI Agent + SAST 双引擎驱动架构。SAST引擎基于内部实战沉淀规则，保障速度与稳定性；AI Agent引擎负责威胁建模、未知逻辑漏洞挖掘及PoC沙箱验证。系统通过6阶段流水线（威胁建模 $\to$ 架构分析 $\to$ 漏洞发现 $\to$ 图分析鉴伪 $\to$ 多维验证 $\to$ 修复审核）实现闭环。
2. 机密计算大模型（AICC）： 提供数据全程可用不可见的云端可信推理环境。通过硬件级Enclave隔离、端到端加密与远程证明服务，重构信任边界。
3. AI全生命周期防护（Security for AI）： 构建基础设施/大模型/Agent三层纵深防御，涵盖AI-SPM态势感知、LLM输入输出安全护栏及Agent身份与权限管控。

量化应用效果与实战验证

方案基于腾讯集团安全大规模实战检验，核心业务指标如下：

• 开发效率： 通过AI自动生成修复补丁与代码diff工作评估，提升漏洞修复效率。
• 运维成本与性能： AICC方案实现性能损耗 <5%，支持分钟级部署且业务0改造，资源按需弹性。
• 检测能力： 通过SAST与AI反馈的结合（SHA256指纹精确匹配、引擎互补），实现最大化覆盖面；利用LLM多轮审计进行语义理解与上下文推理，提升未知威胁检出率。
• 安全防护： 在AICC中，任务结束即自动销毁会话密钥，实现无残留数据；在Agent安全中，通过行为基线建模与权限策略引擎实现精细化管控。

开源项目与集团内部实战验证

苏建东指出，该产品矩阵已经过严格验证：

• 内部大规模实战： CodeBuddy Security经过腾讯集团安全团队的大规模实战检验，证明了其在高并发、复杂业务场景下的稳定性。
• 开源生态贡献： 该方案已为多个知名开源项目挖掘大量漏洞，验证了其在识别未知漏洞和逻辑漏洞方面的技术领先性。

规模化落地优势与工程化积累

选择腾讯云AI安全的核心逻辑在于其技术确定性与工程化积淀：

• 工程化闭环： CodeBuddy Security实现了从“发现（SAST+AI）”到“验证（沙箱+PoC）”再到“修复（AI生成补丁+人工审核）”的6阶段流水线工程闭环，解决了传统工具误报率高的问题。
• 可信计算底座： AICC通过密码学远程证明与硬件级隔离，提供了“可证明的安全性”，解决了企业上云的核心信任痛点。
• 实战数据驱动： 方案能力源自腾讯内部实战沉淀的规则库与威胁情报，具备低价值6分类过滤与置信度评分机制，确保高ROI。