知名安全团队 darknavy(曾首发拼多多漏洞)进行了一项对比实验,旨在评估前沿开源模型在漏洞挖掘领域的真实潜力。实验选取了其内部系统 Mythos 发现的真实漏洞代码,首先将相关代码上下文进行人工切片和拼接,在关闭联网搜索的前提下,投喂给 DeepSeek 等开源模型。结果显示,在提供充分上下文和合理提示词的情况下,这些开源模型成功识别出了绝大多数已知漏洞,证明其已具备足够的安全知识储备。然而,当实验条件变为直接将代码仓库交给 Claude Code、OpenCode 等通用 AI Agent 框架进行自由分析时,结果出现了剧烈波动。模型表现极不稳定,常在无关路径上消耗大量 Token,或过早收敛至错误假设,给出的结论看似合理却无法验证。这一结论表明,当前制约 AI 在网络安全领域应用落地的瓶颈,已不再是模型本身的知识容量或推理智商,而是缺乏能够有效组织知识、引导探索行为的“外部系统”。这标志着行业关注点正从单纯追求模型参数,转向构建更专业的控制框架。
事件分析
该实验揭示了当前 LLM 在垂直领域落地时的核心痛点:模型智力与工程落地能力的错位。虽然 DeepSeek 等前沿模型的逻辑推理能力已足以理解复杂的代码漏洞,但在缺乏人工干预的开放式任务中,模型往往缺乏长链路规划和自我纠错的机制。对于网络安全产业而言,这意味着单纯的“基座模型”竞赛已不足以解决实际问题,未来的竞争高地将转向构建更专业的垂直 Agent 框架。这类“Harness”系统需要具备精准的上下文切片能力、动态的任务调度机制以及工具调用反馈闭环。谁能掌握“驾驭模型的艺术”,构建出能让模型稳定输出的控制层,谁就能率先将 AI 从“辅助分析工具”升级为“自动化安全专家”。这也预示着 AI 安全工具将进入“精细化运营”阶段,通用的 IDE 插件可能无法满足高对抗场景的需求。
💡 核心观点:模型已具备“漏洞智商”,但缺乏“执行力”;在网络安全等高敏感领域,精准的控制框架比模型智商更重要。
原文链接:Linux.do
Codex CLI 深度
AI 模型横评
AI Agent 框架
Claude Code 订阅生存指南