當 SAST 遇上 AI Agent：Gitee CodePecker 發布「圖智 GraphAgent」

3 月 25 日晚，Gitee CodePecker 舉辦「AI 重塑代碼安全」線上發布會，正式發布新一代混合智能體代碼安全審計平臺「圖智 GraphAgent」。

該產品將確定性圖分析與安全智能體結合，試圖在傳統 SAST 與純 LLM 審計之間找到第三條可工程化落地的路徑。

發布會由 Gitee CI/CD 產品總監徐明星主持，開源中國董事長馬越、Gitee CodePecker 負責人李小軍、Gitee 首席安全產品官高琨、Gitee CodePecker 產品負責人黃琦先后參與分享。

戰略整合：開源中國全資收購酷德啄木鳥的底層邏輯

發布會首個環節是戰略訪談。馬越、李小軍、高琨三人圍繞開源中國全資收購酷德啄木鳥的背景與整合進展展開對話。

馬越的判斷是：安全智能體正在從「規則驅動」轉向「語義推理」，傳統 SAST 工具如果不擁抱 AI，將面臨淘汰。

開源中國有平臺、場景和數據，但缺少對代碼深層語義的理解能力，而酷德啄木鳥在 SAST、SCA 領域積累超過十年，尤其在復雜業務邏輯理解方面有成熟的技術儲備。

雙方結合的目標是打造根植于本土開源生態、適配國產化環境的 AI 原生代碼安全平臺。

李小軍介紹了整合后的三個變化。

產品端，酷德啄木鳥全面轉向 AI 驅動，接入開源中國的開源生態數據；市場端，借助 Gitee 渠道觸達大量企業和開源項目，新增客戶中 40% 來自中小企業；技術端，檢測能力已與 Gitee 平臺深度集成，開發者提交代碼即可自動觸發 SAST/SCA 檢測。

高琨從行業視角做了補充：傳統 SAST 在規模化掃描和合規審計方面仍有價值，但在業務邏輯理解和誤報控制上存在明顯短板；純 LLM 審計雖然具備接近人類專家的理解能力，但成本、確定性和合規性都是問題。

真正的方向是兩者的融合，用確定性圖分析做骨架保證可解釋性，用 AI 智能體做大腦理解業務邏輯。

圖智 GraphAgent：確定性圖分析 + 安全智能體

發布會的核心環節由Gitee CodePecker 產品負責人黃琦帶來。

「圖智 GraphAgent」是 Gitee CodePecker 自主研發的混合智能體代碼安全審計平臺，定位于傳統 SAST 與純 LLM 審計之外的第三條路徑。

產品采用三層協同架構：圖驅動分析層負責代碼結構化建模和可疑路徑收斂，將代碼從文本級切換到結構級；安全智能體推理層基于收斂后的上下文進行深度語義分析和風險判斷；確定性閉環驗證層對推理結果進行路徑驗證與證據固化，確保結論的工程可用性。

核心設計思路可以概括為一句話：先用圖分析提取「可審計子圖」，收斂上下文，再將高價值路徑交由安全智能體做語義研判，最后通過確定性驗證閉環輸出可復核的證據鏈。

這一架構同時控制了 LLM 的 Token 消耗和幻覺風險，也彌補了傳統規則引擎在業務邏輯理解上的不足。

此外，李小軍在圓桌中也提到了一個內部測試數據：圖智能讓研發團隊把 80% 的精力從「修誤報」轉向「攻業務」。

關于「圖智 GraphAgent」的完整技術架構、六大核心能力、四大應用場景及行業對比分析，詳見「GraphAgent」產品白皮書。

Gitee DevSecOps 技術升級

發布會最后一個環節由高琨與徐明星聯合分享，公開了 Gitee DevSecOps 與 CodePecker 的能力整合方案。

整合圍繞三個維度展開：數據打通（SAST/SCA 引擎全面接入 Gitee 開源數據）、流程嵌入（檢測能力作為 Gitee 原生服務嵌入 PR 流程）、全鏈路協同（覆蓋開發、測試、交付、運維的完整閉環）。高琨同時介紹了「源盾可信中心倉」的供應鏈安全能力，后續將有專文詳細解讀。

「圖智 GraphAgent」產品白皮書現已開放下載，掃描下方二維碼即可獲取。