北京中科天齐信息技术有限公司在经过企业申报、提交申报材料、专家评审、认定报备、公示公告等一系列程序的严格审核后，荣获“国家高新技术企业”和“中关村高新技术企业”认定，实现了双高新认定。国家高新技术企业高新技术企业是发展高新技术产业的重要基础，是调整产业结构、提高国家竞争力的生力军，在我国经济发展中占有十分重要的战略地位，一直受到各级政府的高度重视、鼓励和支持。按照规定，只有当企业研发投入占比、高新技术产品收入占比、科技人员数量、技术创新能力等核心指标满足一定条件才能获此认定。中关村高新技术企业"中关村高新技术企业"由北京中关村科技园区管理委员会审核，通过一系列严格的要求，包括企业资质、科技研发能力、技术创新能力、企业发展情况以及填报资料真实性等方面的考察，最终确定是否可以获得资质认定，是国家为支持高新企业发展，提高国家综合经济竞争力而设立。本次中科天齐获得双高新技术企业的认定，是国家对企业在科技创新上的认可和支持，同时也标志着中科天齐正式迈入高新技术企业行列。中科天齐将继续以技术为核心，以市场发展为导向，积极提升企业核心竞争力、创造力和生命力。同时更加注重知识产权、培养优秀技术人才队伍，加强科技成果转化应用能力，助推公司高质量发展，助力网络安全建设。WuKong静态代码安全测试工具 “Wukong”作为一款静态代码安全测试工具，支持多种开发语言的安全缺陷检测，兼容多种国产化环境，帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。

WuKongQL智能源代码漏洞挖掘平台(简称WuKongQL)是一款基于QL查询语言定义检测规则，并深度融合AI技术进行智能误报校验及缺陷修复的代码安全检测及漏洞挖掘平台，旨在突破传统静态分析工具的固有短板，助力代码安全检测模式从被动漏洞排查，升级为主动安全防御+智能化缺陷修复。工具主要贴合企业两大核心需求：1、针对软件系统源代码开展全方位、高精度的安全检测与漏洞挖掘，输出详实可溯源的缺陷分析报告，清晰标注漏洞危险等级、影响范围与安全风险提示，帮助企业直观把控整体代码安全态势。2、提供全流程迭代化检测修复服务，可无缝嵌入代码提交、项目构建、版本发布全研发链路，实现安全问题“早发现、早校验、早修复”，降低漏洞修复成本，保障软件产品上线安全，同时满足企业合规审计需求。WuKongQL支持Java、C/C++、Python、JavaScript等13种主流编程语言，内置500+预置检测模式，覆盖覆盖约50多种CWE，能够进行代码模式匹配和数据流分析。相较于传统静态分析工具具有以下突出特点：特点一：可扩展的高精度分析架构平台检测过程中可无缝对接第三方高精度分析引擎，依托多引擎协同联动机制，全方位提升漏洞检测精准度与检测覆盖深度。特点二：基于大模型的智能攻击面识别结合大语言模型的代码理解能力，能够针对不同的应用系统自动识别其攻击面，包括外部可访问的API接口、外部可访问文件/数据库接口、用户输入入口、第三方依赖调用点、框架接口等关键风险点，为漏洞挖掘构建完整的系统暴露面。特点三：自定义规则挖掘漏洞工具突破传统静态分析框架的局限性，支持用户通过QL语言自定义漏洞检测规则。允许以查询方式动态扩展检测能力，实现无需定制开发的灵活漏洞挖掘。特点四：AI智能漏洞验证及修复通过集成AI能力，结合自身静态分析引擎，搭建从漏洞核验到自动修复的闭环处理流程，一站式完成漏洞验证与缺陷整改。特点五：DevSecOps全流程无缝集成可无缝嵌入CI/CD流程，在代码提交、构建、发布等环节实现自动化安全检测，落地常态化研发安全管控。 WuKongQL代表了静态分析技术的范式转变，平台通过将代码转换为可查询的数据库，赋予了安全团队更加精确、自动化和可扩展的漏洞发现能力，结合AI能力更加智能，适用于追求高水平软件安全与成熟度 DevSecOps 实践的组织。

DevSecOps高速发展，代码安全检测已成为研发全流程中不可或缺的核心环节。从传统静态代码分析工具(SAST)的规则化扫描，到大型语言模型(LLM)的语义化推理，代码检测技术始终在追求“精准、高效、全面”的目标。目前出现很多结合AI和传统分析工具的新技术，通过整合各类工具核心优势，构建代码安全检测新范式，解决行业长期存在的痛点。传统静态代码分析工具：传统SAST工具核心优势在于基于预设规则的精准扫描，误报率相对较低，且能快速适配主流开发语言，集成于CI/CD流水线实现自动化检测。工具的局限性：1、依赖人工编写规则，规则库更新难以迅速跟上新型漏洞;2、采用模式匹配机制，对漏洞变种、复杂上下文依赖的漏洞识别能力薄弱，漏报率较高;3、难以发现业务逻辑漏洞，对于“看似危险却实际安全”的代码(如日志打印中的用户输入)，容易产生无效告警，或遗漏“看似安全却存在隐患”的隐蔽漏洞。纯AI代码检测工具：随着大语言模型的崛起，纯AI代码检测工具凭借强大的语义理解与上下文推理能力，成为行业新热点。这类工具的核心优势的是无需预设规则，能从海量代码与漏洞样本中学习漏洞本质特征，快速识别跨文件、跨函数的复杂漏洞，甚至能发现传统工具无法覆盖的漏洞变种。纯AI工具的局限性：1、误报率较高，部分模型因“幻觉”问题，会虚构不存在的漏洞，或误判安全代码为漏洞;2、漏洞定位精度不足，无法精准标注漏洞所在的行和列，给开发者排查带来不便;3、缺乏严谨的逻辑验证，对于复杂的数据流、控制流漏洞，仅能基于语义推理给出判断，无法通过技术手段验证漏洞的可利用性，可靠性不足。QL类语义分析工具：以CodeQL为代表的QL语言工具，是当前语义分析领域的标杆。其核心优势在于将代码转化为结构化数据库(AST、控制流、数据流)，通过声明式查询实现对漏洞的精准定位，支持污点追踪技术，能清晰识别数据从“源头(Source)”到“汇聚点(Sink)”的完整路径，从根本上提升漏洞检测的精准度。CodeQL作为GitHub旗下工具，支持自定义查询，能适配Java、C/C++、Python等主流语言，在专业安全审计中应用广泛。QL工具的局限性：1、门槛极高，需安全专家手动编写复杂的QL查询语句，普通开发者难以掌握;2、规则覆盖有限，手动编写的查询无法快速适配新型漏洞，且对小众语言、框架的支持不足;AI+QL融合工具AI与QL的深度融合，本质是“AI补QL的灵活与效率，QL补AI的精准与严谨”，通过整合三类工具的核心优势，构建出全流程自动化、高精度、广覆盖的代码检测体系。其中，QL提供“精准的逻辑骨架”，负责深度语义分析与漏洞验证;AI能够发现业务逻辑问题，并负责规则生成、语义理解与误报过滤。AI+QL的协同优势AI与QL的融合，整合了传统静态工具、纯AI工具与QL工具的核心优势：1. 精度提升：AI发现业务逻辑漏洞、漏洞变种与新型漏洞;QL提升精准度，过滤误报，确保结果可靠。2. 全流程自动化：从AI生成QL查询、QL执行扫描，到AI验证漏洞、过滤误报、生成修复建议，形成完整的自动化闭环，大幅降低人工投入，提升检测效率。3. 门槛降低：支持自然语言交互，开发者无需学习QL语法，只需用中文/英文描述漏洞需求(如“查找SQL注入”)，AI即可自动转化为QL查询并执行，实现安全能力平民化。4. 可扩展性强：兼容主流LLM与QL工具(CodeQL)，支持多模型协同，可根据项目需求灵活调整，适配不同规模、不同语言的代码库。 5. 持续进化：AI可从CVE库、历史检测数据、社区知识中持续学习，自动优化QL查询质量;QL则可通过AI的建模能力，不断扩展语言与漏洞覆盖范围，形成持续进化的检测能力。