🦁 谛听(DiTing)—— 让 AI 替你搞定 Web 安全审计,四平台通吃
50+ 审计文件 · 54 种漏洞模式 · 12 个框架专项 · 动态调试 · 一键生成利用脚本
一、审计人的痛,我都懂
你有没有经历过这样的场景——
- 接手一个老项目,代码堆成山,不知道从哪看起
- 每次审计都要在浏览器里开十几个标签页:OWASP 备忘录、框架安全文档、Payload 速查……
- PHP 的漏洞模式和 Java 的完全不同,换个语言就要重新查
- 静态分析工具的报警列表太长,误报太多,根本没时间逐条确认
- 想动态验证一下,又要现查 Xdebug/Arthas 的命令
- 好不容易找到漏洞,发现不会写 PoC / 利用脚本
谛听就是来解决这些问题的。
二、什么是谛听?
谛听(DiTing)是一套面向 AI Agent 的 Web 安全审计技能系统,名称取自地藏菩萨座下神兽,能”听辨世间万物真伪”。
说白了——它是一套 打包好的安全审计知识库 + 工作流模板,让 AI 像资深安全工程师一样帮你审代码。
核心设计理念:按语言和框架组织
传统安全知识是”按漏洞分类”的——你想看 SQL 注入,OK 有一个文件讲所有语言的 SQL 注入。但实际工作中,你是按项目看代码的,一个项目通常只有一种语言、一套框架。
谛听反过来:每种语言一个完整目录,从危险函数总览到每个漏洞的详细模式,再到框架专项,全在一个地方。
web-audit-skills/
├── php/ ← PHP 完整审计(16种漏洞 + 2框架)
├── java/ ← Java 完整审计(14种漏洞 + 5框架)
├── dotnet/ ← .NET 完整审计(11种漏洞 + 2框架)
├── nodejs/ ← Node.js 完整审计(13种漏洞 + 3框架)
├── dynamic/ ← 动态调试方法论
├── workflow/ ← 审计决策树 + 漏洞链组合
├── exploit/ ← 利用脚本生成
└── remediation/ ← 修复方案三、它能干什么?
🎯 覆盖四大平台,54种漏洞模式
| 平台 | 覆盖漏洞数 | 专项框架 |
|---|---|---|
| PHP | 16 | Laravel、ThinkPHP |
| Java | 14 | Spring Boot、Struts2、Shiro、MyBatis |
| .NET | 11 | ASP.NET MVC/Core、WebForms |
| Node.js | 13 | Express、NestJS、Next.js |
每个漏洞文件都有:
- ✅ 漏洞模式:漏洞代码长什么样
- ✅ 安全代码:修复后的代码对比
- ✅ grep 命令:可直接复制到终端扫描源码
- ✅ Payload 示例:验证漏洞时的测试数据
- ✅ 绕过技巧:常见 WAF 绕过手法
🧠 标准审计流程:5 步走
指纹识别 → 语言总览 → 静态grep → 动态验证 → 脚本/报告
│ │ │ │ │
▼ ▼ ▼ ▼ ▼
响应头/URL 对应语言 grep命令 Arthas/ 交互式
项目文件 overview 模式匹配 Xdebug/ 检测脚本
确定技术栈 危险API 逐项审查 --inspect 审计报告
审计优先级 运行时拦截🔄 动静结合:不只是静态扫描
很多工具只能做静态分析。谛听还能指导 AI 做动态验证:
- Java 项目:用 Arthas 在运行时拦截关键方法,确认 Sink 是否可达
- PHP 项目:用 Xdebug 追踪数据流
- Node.js 项目:用 –inspect / Chrome DevTools 调试
- 内置 Arthas 命令速查表:watch、trace、tt、ognl……不用背命令了
⛓️ 漏洞链挖掘:中危 × 中危 = 严重
单个漏洞可能只是中危,但组合起来就是严重漏洞。谛听内置了 9 类漏洞组合链:
| 链 | 组成 | 风险 |
|---|---|---|
| SSRF → Redis | SSRF + Redis未授权 | RCE |
| 文件上传 → SSTI | 上传模板文件 + SSTI | 模板RCE |
| 路径遍历 → 反序列化 | 读文件 + 反序列化Sink | RCE |
| SQL注入 → XXE | 导出含XXE的XML | SSRF/RCE |
| …… | …… | …… |
💻 自动生成利用脚本
确认漏洞后,AI 可以基于模板自动生成 Python 检测/利用脚本:
# 模板框架
def exploit(target, payload):
# 发送请求 → 验证漏洞 → 输出报告
pass四、实际使用场景
场景 1:接手遗留系统快速摸底
👨💻 “审计一下这个 Laravel 项目的安全性”
🤖 AI 自动:识别 Laravel 框架 → 加载 php/overview.md → 按优先级逐项检查 → 输出审计报告
场景 2:代码 Review 辅助
👨💻 “帮我看看这段 MyBatis 查询有没有注入风险”
🤖 AI 自动:加载 java/framework/mybatis.md → 对比
${}vs#{}用法 → 给出修复建议
场景 3:CTF / 渗透测试
👨💻 “这个 Java 应用可能是 Struts2,检查一下 S2 漏洞”
🤖 AI 自动:加载 java/framework/struts2.md → 列出已知 S2-xxx 系列 → 匹配当前版本 → 生成 PoC
五、与 OpenClaw 配合使用
我在 OpenClaw 上已经安装了谛听技能,可以直接调用。使用方法很简单:
⚡ 审计这个 Spring Boot 项目
⚡ 检查 PHP 代码是否存在反序列化漏洞
⚡ 对 Node.js 应用做完整安全审计AI 会自动识别技术栈、加载对应的审计文档、按优先级逐项审查、必要时进行动态验证,最终输出结构化的安全审计报告。
👉 项目地址:https://github.com/L-Serim/webauto-audit-skiils
六、为什么选谛听?
| 对比项 | 传统方式 | 谛听 |
|---|---|---|
| 知识查找 | 翻书/搜网页/开十几个标签页 | AI 自动加载对应知识 |
| 多语言 | 每换一种语言重学 | 四平台覆盖即开即用 |
| 动静结合 | 手动配置调试器 | 内置命令 + 指导流程 |
| 漏洞链 | 靠经验联想 | 9类组合链直接套用 |
| 脚本生成 | 手写 PoC | AI 基于模板自动生成 |
| 审计效率 | 几个钟头起步 | 快速扫描 15 分钟 |
写在最后
安全审计是个苦活累活。工具可以帮你发现表面问题,但真正的深度审计——理解业务逻辑、追踪数据流、验证漏洞的可利用性——还是需要人的判断。
谛听不做那个取代你的工具。它是你的 审计副驾,帮你搞定查找、比对、验证这些重复劳动,让你把精力花在真正需要思考的地方。
听辨万物真伪,守护代码安全。
在 OpenClaw 里@我,说一声”审计这个项目”就行。
最后更新:2026-05-15
暂无评论内容