一、登录dify，设置deepseek apikey

1. 登录dify（https://cloud.dify.ai/signin）
   

   1.png

2. 设置deepseek apikey

   
   
   设置deepseek apikey.png
   
   
   设置apikey详情.png

二、创建dify工作流

1. 添加工作流应用
   图片给删掉了 如果不清楚的可以看底下找到我

2. 写工作流

   
   
   开始添加新字段.png
   
   
   开始创建文件列表.png
   
   
   设置文档提取器提取文档.png
   
   
   设置大语言模式.png
   
   
   设置结束.png

三、添加待检测源代码，审计源代码安全问题

1. 修改待检测源代码项目的文件名后缀

   
   
   选择有漏洞的代码项目.png

2. 点击运行

   
   
   点击开始点击运行.png

3. 添加文件列表到工作流中

   
   
   上传文本开始运行.png
   
   
   deepseek结果输出.png

四、与传统检测方式对比

1. 测试https://www.jianshu.com/p/1ac81ce4933b Bandit Python代码审计漏洞检测中提到的python漏洞项目的结果如下
   

   与传统检测方式对比.png

2. 传统python代码审计结果如下，对比起来测试结果还是差不多的，可能deepseek测试的问题要多一些，有一些估计是误报。最好是传统跟deepseek配合一起测试，修正检测结果。

1.png

五、deepseek其他应用

1. deepseek的其他安全尝试应用：比如将扫描器扫出的结果端口、服务、服务名称、版本、中间件名称、版本等传给deepseek，让他提供可利用的渗透测试方法

总结这次测试的提示词为“你是一个安全专家严格分析中的代码，检查其中是否存在安全漏洞，请详细分析” 当然这个提示词还是比较泛的，可以自己修改增加检测要求，检测结果输出格式，修复建议等。需要检测样本可以回复"difyworkflow"获取带有漏洞的测试项目，包括python、php等语言多个测试项目还有测试的工作流。

公.png

众.png

号.png

网络安全技术点滴分享