常见问题解答

Hacktron 是一个 AI 驱动的安全代码审查平台。它的 AI Agent 会审查你的仓库，发现可利用的漏洞，并以 PR 评论和仪表盘检测结果的形式呈现。它有两种工作模式：在每个 pull/merge request 上运行的逐 PR 审查，以及分析仓库完整源码的白盒扫描（也称渗透测试）。

在底层，Hacktron 会索引你的代码库、构建调用图并建立威胁模型，就像一位资深安全工程师为你的系统建立心智模型一样。

Hacktron 像一名安全工程师，每次审查都更敏锐。对检测结果的处置反馈（例如标记误报、确认真实问题），加上 .hacktron/rules.md 等项目规则文件，会教它认识你的攻击面，让每次审查都比上一次更贴合你的代码库。

传统 SAST 匹配已知的规则模式。Hacktron 的 Agent 会推理可利用性，包括无法映射到单一规则的授权与访问控制缺陷，并为每个检测结果附上数据流（污点）追踪，让你看清它为什么可利用。

PR 审查在每个 pull/merge request 上自动运行，聚焦于本次变更。白盒扫描（也称渗透测试）覆盖仓库的全部源码，从仪表盘启动。

在每个 PR 上，Hacktron 会发布一个“Hacktron Security Check”，并以一次审查的形式在受影响代码上留下行级评论。每个检测结果都附带“Fix with AI”选项（在 Cursor、Claude 或 Codex 中打开修复），以及可复制的修复提示词。评论 @hacktron review 即可重新触发审查，处置也直接在讨论串里完成。

Hacktron 提供一键修复提示词和深度链接，而不是替你提交变更。它会跨 PR 跟踪每个检测结果是否已修复，修复后自动关闭，避免过期条目堆积在你的待办里。

可以。Hacktron 为干系人生成管理层报告，为工程师生成技术报告。检测结果还可导出为 CSV 或 SARIF，接入你自己的工具和流水线。

Hacktron 专注于可利用的代码漏洞，例如注入（如 SQL 注入）、跨站脚本（XSS），以及授权或访问控制缺陷，每个检测结果都附带数据流追踪。它已经在 Next.js、oauth2-proxy 和 Metabase 中发现了严重的 0-day 漏洞。

可以。Hacktron 会审查 AI 功能和 AI 生成代码带来的风险，包括提示词注入、对 LLM 输入输出的不安全处理，以及不安全的 AI Agent 或工具调用集成。

Hacktron 的 AI 审查员可以阅读任何语言的代码，不局限于固定列表。对于团队最常用的语言，它还提供更深入的语言感知分析。如果下方没有你的技术栈，预约通话，我们会针对你的具体需求确认覆盖情况。

Hacktron 可在 GitHub（包括 GitHub Enterprise）和 GitLab（包括自托管实例）上审查 pull/merge request。Bitbucket 仓库可以接入扫描，并把检测结果同步到工单系统。

支持。使用个人访问令牌即可连接 GitHub Enterprise 或自托管 GitLab 实例。

Hacktron 向 Slack 发送实时告警，并创建 Jira 和 Linear 工单，让修复工作融入团队已有的工作流。在 Slack 中，你还可以直接在讨论串里处置检测结果。

有。Hacktron 提供公开的 REST API，使用组织级 API 密钥即可触发扫描、获取和导出检测结果，以及管理仓库。

可以。在仓库中添加 .hacktron/rules.md 文件，或上传 Markdown 上下文文档并关联到仓库，告诉 Hacktron 你的技术栈、约定，以及审查中最重要的内容。

可以。Hacktron 提供私有化部署版本，完全运行在你自己的基础设施中，并使用本地账户。

对于云端扫描，Hacktron 会把你的仓库克隆到隔离的扫描环境中分析，并将产生的检测结果（包括相关代码片段）存储在你的 Hacktron 账户里。如果代码不能离开自有环境，请使用私有化部署版本。

使用 Google、GitHub 或邮箱密码登录。私有化部署版本使用本地账户。

支持。Hacktron 是多租户架构，提供组织、成员邀请，以及覆盖所有者、管理员和成员的基于角色的访问控制。

是的。Hacktron 已通过 SOC 2 Type 1 认证。阅读公告。

有。Hacktron 提供 14 天免费试用。

Hacktron 按开发者席位定价，渗透测试从独立的额度余额中扣减。免费试用或预约演示，即可获取最新定价。

是的。通过 Hacktron 开源计划，符合条件的公开仓库维护者可以免费获得 PR 安全审查。在我们的开源页面申请。