xfire 是一款基于多智能体对抗机制的安全审查工具,专为代码安全审计而设计。它通过调用 Claude、Codex 和 Gemini 三个独立的 AI 代理对代码进行并行分析,随后启动一场结构化的辩论流程:每个代理既担任检察官提出漏洞指控,又可能作为辩护方反驳他人结论,最终由“法官”代理做出裁决。只有那些在交叉质询中经受住考验、获得多数支持且符合证据标准的发现才会被纳入最终报告。这种机制显著降低了单一模型误报或漏报的风险,确保输出结果更加可靠。xfire 支持多种输入形式,包括 GitHub Pull Request、本地 diff 文件或完整仓库扫描,并可生成人类可读的 Markdown 报告或机器友好的 JSON/SARIF 格式,便于集成到 CI/CD 流水线中。
核心功能特点
- 三代理独立分析 + 对抗式辩论验证:Claude、Codex、Gemini 各自独立审查代码,再通过 prosecutor-defender-judge 模式进行交叉质证,仅保留经得起质疑的真实漏洞
- 精准上下文感知:自动解析变更影响范围,结合 git 历史、配置文件与依赖关系构建深度上下文,避免孤立检查代码片段
- 灵活输出与集成:支持 markdown/json/sarif 三种格式,可输出至文件或直接发布为 GitHub PR 评论,适配 Git hooks 与主流 DevSecOps 工具链
- 基线化增量扫描:记录仓库状态快照,后续运行仅对比差异部分,大幅提升大规模项目重复扫描效率
- 可调节严重性门控:允许设置最低高危漏洞阈值以阻断 CI 流程,同时提供置信度过滤机制减少误报干扰
适用场景
xfire 最适用于需要高可信度安全反馈的研发场景,尤其在处理敏感功能(如认证授权、支付逻辑)或关键基础设施代码时优势明显。典型使用场景包括:在合并前对 Pull Request 执行自动化安全门禁检查,拦截潜在注入、权限绕过或配置错误;在持续集成环境中定期扫描整个代码库,识别长期积累的技术债务与架构风险;或在重构复杂模块时聚焦变更集,快速定位引入的新安全隐患。其对抗式辩论机制特别适合对抗模型幻觉问题——即使某个 AI 代理偶然发现‘伪漏洞’,也会在与其他代理的交锋中被有效驳斥,从而保证最终报告的准确性。此外,通过启用 `–thinking` 参数可激活模型的深度推理能力,在处理涉及数据流追踪或多步攻击路径的场景时表现更优。