领导一拍脑袋想出要通过SAST审计项目接口是否需要开放外网的需求。 
关于这个需求，白盒肯定是不行，那就写一个Agent，直接阅读路由的业务代码，让AI去判断，但难点在于，如何通过URL定位到具体的业务代码。公司能通过sourceGraph搜索全公司的代码，问题在于，每个项目的路由规则不一致，有的是路由拼接， 有的是常量替换，有点还是通配符，我人工找都不一定找得到。但我通过正则还是能匹配出一些常见的路由，那种不常见的路由编写方式覆盖不到(公司大部分都不符合规范，全乱写)。 
所以换了一种想法，我针对所有在运行的服务，提取出项目的所有接口，然后直接分析所有接口的业务逻辑，由AI给出评分。 
两个方案，第一个是因为我们收集到了大概5000个接口，想直接从接口层面到代码层面分析，所以需要从URL定位到代码。第二个方案还在跑demo，卡在如何提取出完整的路由信息。 
佬友们，有没有好点的想法，或者...