前言

距离我上次发布 Audison（原 TrustEngine）已经过去三天了。这三天我几乎是连轴转，一口气更了三个版本，从 v2.2.0 直接冲到了 v2.3.3。

很多人问我为什么版本号跳得这么快？因为 v2.x 是一个完全不同的产品。v0.x 是 AI 工作流框架，而 v2.x 是一个纯血的 AI 输出审计引擎。我删掉了所有和审计无关的代码，把所有精力都集中在一件事上：让你能放心地用 AI 写代码。

这三天的更新，我把所有开发者提的最迫切的需求都实现了：接入 Cursor 和 Claude Desktop、一键体验不用安装、GitHub Action 自动审计 PR、还有完整的 HTML 报告导出。

下面是完整的更新日志和使用教程。

---

三日更新总览

表格

版本	日期	核心主题
v2.3.3	5 月 30 日	社区基建 + GitHub Action 发布到 Marketplace
v2.3.2	5 月 29 日	架构整理 Phase A-D + CLI 拆包 + 漏斗引导链路
v2.3.0	5 月 29 日	MCP Server + npx Demo + Playground 双模式
v2.2.0	5 月 28 日	代码审计核心引擎完整落成

重大变更说明：从 v0.1.2 直接跳到 v2.2.0，因为 v2.x 是完整代码审计引擎的重写，和 v0.x 的 AI 工作流框架是完全不同的产品。所有 pyproject.toml 和代码内版本号已全部同步。

---

核心重大变更

1. audison init 命令完全重写

现在走三步交互对话，新手也能一分钟完成配置：

1. Provider 菜单选择（OpenAI/Anthropic/Ollama 等）
2. 输入 API Key（Ollama 用户自动跳过这一步）
3. 自定义 endpoint（可选）

2. CLI 架构彻底重构

把原来一个 1492 行的巨型cli.py文件，拆成了cli/子包下的 12 个文件，最大的文件也只有 220 行。代码可读性和可维护性大幅提升，以后加新功能会快很多。

3. 打包问题彻底修复

v2.2.0 之前 YAML 配置文件没有打进 wheel 包，导致attack和conscience功能会报找不到文件。这个问题已经在 v2.3.0 中完全修复，现在pip install就能直接用所有功能。

4. API Key 管理统一化

新增了APIPoolManager作为唯一的 API Key 来源，cli.py和trust_engine.py都从它查询，不再各自硬编码。现在支持同时配置多个模型提供商的 API Key，自动切换。

5. 完整的 Ollama 本地模式支持

所有代码都在本机运行，不会有任何数据流出，适合隐私敏感场景。

---

v2.3.3 四大杀手级新功能

1. MCP Server：接入 Cursor/Claude Desktop，AI 生成代码即时审计

这是目前最重磅的功能。现在你可以把 Audison 直接接入 Cursor 和 Claude Desktop，AI 生成的每一行代码都会被自动审计。

只需要在你的 MCP 配置文件里加几行：

{
  "mcpServers": {
    "audison": {
      "command": "python",
      "args": ["-m", "audison.mcp"]
    }
  }
}

重启 Cursor 后，你就可以直接说："用 Audison 审计一下这段代码有没有安全漏洞"，它会自动调用 Audison 进行审查，并给出详细的报告。

2. 三种零门槛体验方式，不用安装就能用

我知道很多人不想在本地装一堆依赖，所以我做了三种零门槛体验方式：

• npx 一键体验：npx audison-demo，内置 5 个案例，直接在终端运行
• 浏览器 Playground：https://wdnmd1265.github.io/Audison/playground.html，不用安装
• 在线 Demo：Playground 内置 6 个预置案例，打开就能看效果

3. GitHub Action：自动审计每一个 PR

现在 Audison 已经正式发布到 GitHub Marketplace 了。你只需要在你的仓库里加一个工作流文件，就能自动审计每一个 PR 的代码，发现漏洞直接在 PR 里评论。

配置只需要三行：

- name: AI Code Audit
  uses: wdnmd1265/audison@v2.3.3
  with:
    files: "src/**/*.py"

4. 完整的 HTML 审计报告导出

现在支持用--html参数导出完整的 HTML 审计报告，是一个自包含的单文件，零外部依赖，可以直接分享给团队。

报告包含：

• 一目了然的审计概览和置信度评分
• 按严重程度分级的问题列表
• 多模型盲审结果和仲裁者投票
• SHA-256 加密的不可篡改证据链
• 详细的 API 调用成本明细

报告顶部会直接给出最终结论和置信度评分，同时显示参与审计的模型数量、发现的置信问题、争议问题和盲区数量。

每个问题都会标注严重程度和置信度，同时显示哪些模型达成了共识，哪些模型存在争议。对于有争议的问题，还会展示不同模型的具体分歧点。

你可以清晰地看到每个模型在不同检查项上的表现，以及三个仲裁者各自的投票结果和发现的问题。

报告底部包含完整的加密证据链，确保审计结果不可篡改。同时还会显示详细的 API 调用成本，以及跨家族路由带来的成本节省（本次审计节省了约 35% 的费用）。

---

30 秒快速上手

标准安装

pip install audison[html]

配置 API Key

audison init

审计一个 Python 文件并生成 HTML 报告

audison audit login.py -r "检查SQL注入和认证绕过漏洞" --html -o report.html

Python SDK 三行集成

from audison import TrustEngine

engine = TrustEngine()
report = engine.audit(
    requirement="实现一个安全的用户登录接口",
    ai_output=ai_generated_code,
)

print(report.summary())  # "REJECT (32/100): 3 findings, 2 uncertain"

TrustReport 输出结构

• verdict：PASS/REVIEW/REJECT 三档结论
• confidence：0-100 分的置信度评分
• findings：详细的问题列表，包含严重程度、描述和建议
• evidence_chain：SHA-256 哈希加密的证据链
• timestamp：UTC 时间戳，可审计可追溯

---

未来规划

接下来我会重点做这几件事：

1. 支持更多的模型提供商（豆包、通义千问、智谱 GLM 等）
2. 上线规则市场，让大家可以分享和下载自定义审计规则
3. 开发 Web UI 界面，更方便地管理审计任务
4. 集成静态代码分析工具，和 AI 审计形成互补

---

写在最后

这三天的更新，让 Audison 从一个 "能用" 的工具，变成了一个 "好用" 的工具。现在它已经可以无缝融入你的开发流程，在你写代码、提交 PR、部署上线的每一个环节，帮你把好安全关。

我始终相信，解决 AI 幻觉的唯一方法，就是让它透明化。而 Audison 就是我为这个目标交出的答卷。

项目完全开源免费，Apache 2.0 协议。如果你也认同这个理念，欢迎去 GitHub 给我点个 Star，也欢迎提交 PR 和 Issue，一起把这个项目做得更好。

项目地址：https://github.com/wdnmd1265/Audison
在线 Playground：https://wdnmd1265.github.io/Audison/playground.html