一、登錄dify，設(shè)置deepseek apikey

1. 登錄dify（https://cloud.dify.ai/signin）
   

   1.png

2. 設(shè)置deepseek apikey

   
   
   設(shè)置deepseek apikey.png
   
   
   設(shè)置apikey詳情.png

二、創(chuàng)建dify工作流

1. 添加工作流應用
   圖片給刪掉了 如果不清楚的可以看底下找到我

2. 寫工作流

   
   
   開始添加新字段.png
   
   
   開始創(chuàng)建文件列表.png
   
   
   設(shè)置文檔提取器提取文檔.png
   
   
   設(shè)置大語言模式.png
   
   
   設(shè)置結(jié)束.png

三、添加待檢測源代碼，審計源代碼安全問題

1. 修改待檢測源代碼項目的文件名后綴

   
   
   選擇有漏洞的代碼項目.png

2. 點擊運行

   
   
   點擊開始點擊運行.png

3. 添加文件列表到工作流中

   
   
   上傳文本開始運行.png
   
   
   deepseek結(jié)果輸出.png

四、與傳統(tǒng)檢測方式對比

1. 測試http://www.itdecent.cn/p/1ac81ce4933b Bandit Python代碼審計漏洞檢測中提到的python漏洞項目的結(jié)果如下
   

   與傳統(tǒng)檢測方式對比.png

2. 傳統(tǒng)python代碼審計結(jié)果如下，對比起來測試結(jié)果還是差不多的，可能deepseek測試的問題要多一些，有一些估計是誤報。最好是傳統(tǒng)跟deepseek配合一起測試，修正檢測結(jié)果。

1.png

五、deepseek其他應用

1. deepseek的其他安全嘗試應用：比如將掃描器掃出的結(jié)果端口、服務、服務名稱、版本、中間件名稱、版本等傳給deepseek，讓他提供可利用的滲透測試方法

總結(jié)這次測試的提示詞為“你是一個安全專家嚴格分析中的代碼，檢查其中是否存在安全漏洞，請詳細分析” 當然這個提示詞還是比較泛的，可以自己修改增加檢測要求，檢測結(jié)果輸出格式，修復建議等。需要檢測樣本可以回復"difyworkflow"獲取帶有漏洞的測試項目，包括python、php等語言多個測試項目還有測試的工作流。

公.png

眾.png

號.png

網(wǎng)絡(luò)安全技術(shù)點滴分享