我们构建了一个 VS Code 扩展,三重检查 AI 生成的代码的安全漏洞
发布: (2026年3月8日 GMT+8 00:22)
2 分钟阅读
原文: Dev.to
Source: Dev.to
工作原理
CodeVigil 使用三层扫描方法:
- 正则表达式模式匹配 – 捕获常见的漏洞特征。
- AST 结构分析 – 理解代码上下文和数据流。
- GitHub Copilot LLM 验证 – 推断发现是否是真实风险。
这种三重检查方式能够捕获单次扫描器遗漏的问题。检测结果会以原生 VS Code 诊断的形式出现,就像 TypeScript 错误或 ESLint 警告一样。
功能特性
- 100+ 漏洞模式,覆盖 10 种语言(JavaScript/TypeScript、Python、Java、C#、Go、PHP、Ruby、C/C++、Kotlin)。
- Copilot Chat 集成,通过
@codevigil进行自然语言安全问答。 - 本地 CVE 数据库,包含 130,000+ 已知漏洞,用于依赖项扫描。
- 机密检测,捕获硬编码的 API 密钥和凭证。
- 按严重程度排序的诊断,帮助你先解决最关键的问题。
零配置
安装后即可使用。无需账号、API 密钥或配置文件。CodeVigil 会自动检测项目使用的语言并应用相应的模式。
试用步骤
- 在 VS Code 扩展面板搜索 “CodeVigil”,点击 Install 安装。
- 打开任意项目——扫描会立即开始。
免费版已覆盖上述全部功能。专业版(Pro tier)将加入 SARIF 导出和安全仪表盘等额外特性,敬请期待。
我们期待你的反馈。试用后告诉我们你的感受吧。
- 市场(Marketplace):
- 更多信息(More info):