安全檢測的最大痛點:誤報疲勞

在應用安全領域,有一個長期困擾開發者和安全團隊的問題:傳統代碼安全掃描工具的誤報率極高。業界估計,傳統靜態分析工具(SAST)報告的漏洞中,高達70-90%是誤報——即工具認為存在漏洞,但實際上並不構成真正的安全風險。

這種「誤報疲勞」造成了嚴重的後果。開發團隊花費大量時間排查不存在的問題,真正的高危漏洞反而可能被淹沒在海量警報中被忽略。隨着AI自動生成的程式碼量快速增長——GitHub上4%的公開提交已由AI完成——代碼量的爆炸式增長使得這一問題更加尖銳。

傳統安全檢測的困境

  • 高誤報率:傳統SAST工具70-90%的警報為誤報
  • 時間浪費:開發團隊大量時間用於排查不存在的問題
  • 真正風險被忽略:海量誤報導致「警報疲勞」,真正的高危漏洞被埋沒
  • AI代碼激增:AI生成的程式碼量快速增長,安全掃描壓力倍增

ZAST.AI的革命性方法:AI代理自動驗證漏洞

ZAST.AI的核心創新在於其「驗證優先」的方法論。與傳統工具僅通過靜態分析推斷漏洞不同,ZAST.AI的AI代理會主動嘗試利用每一個疑似漏洞——自動生成概念驗證攻擊(Proof-of-Concept exploit),並在安全的沙箱環境中實際執行。只有那些能被成功利用的漏洞才會被報告給開發者。

這種方法從根本上消除了誤報問題。如果AI代理無法成功利用一個疑似漏洞,那麼攻擊者也很可能無法利用它——因此無需浪費開發者的時間。反之,被成功利用的漏洞會附帶完整的攻擊路徑和修復建議,讓開發者能夠精確地理解風險並快速修復。

119個CVE:從理論到實戰

ZAST.AI的技術已經在實戰中證明了自己。在2025年,ZAST.AI的AI代理發現了數百個零日漏洞(此前未被發現的安全缺陷),其中119個獲得了正式的CVE(Common Vulnerabilities and Exposures)編號。受影響的項目包括:

  • Microsoft Azure SDK:多個高危漏洞影響雲服務開發套件
  • Apache Struts:Java Web應用框架中的安全缺陷
  • WordPress:全球最大CMS平台的多個插件漏洞

這些發現的意義不僅在於數量,更在於質量。每一個CVE都經過ZAST.AI的AI代理自動驗證,並提供了完整的攻擊重現步驟。這種「可驗證」的漏洞報告品質,是傳統安全掃描工具難以企及的。

ZAST.AI的關鍵成果

  • 融資:600萬美元Pre-A輪(高瓴資本領投),累計1,000萬美元
  • 零日漏洞:2025年發現數百個,119個獲得CVE編號
  • 影響範圍:Microsoft Azure SDK、Apache Struts、WordPress等
  • 核心技術:AI代理自動生成和執行PoC攻擊驗證
  • 誤報率:接近零——只報告經驗證可被利用的漏洞

AI代碼時代的安全守護者

ZAST.AI的出現正值AI自動生成程式碼急劇增長的時期。當Spotify的工程師使用Claude Code自動編寫程式碼、微軟30%的代碼由AI生成時,一個關鍵問題浮出水面:AI生成的程式碼安全嗎?

研究表明,AI生成的代碼往往會復現訓練數據中存在的安全模式(包括不安全的模式)。此外,AI可能在不經意間引入微妙的安全缺陷——這些缺陷可能通過傳統的代碼審查難以發現。ZAST.AI這類「AI安全審計AI代碼」的解決方案,可能成為AI編程生態中不可或缺的安全層。

高瓴資本的安全賽道佈局

此次融資由高瓴資本領投,這家總部位於香港的頂級投資機構對AI安全賽道的關注值得注意。高瓴的參與不僅為ZAST.AI帶來了資金,更帶來了亞太市場的連接——隨着中國和東南亞的軟件開發規模快速增長,AI代碼安全在這些市場也有巨大的需求。

對於香港的科技企業和開發團隊而言,ZAST.AI代表的趨勢具有直接的實用價值。隨着越來越多的團隊採用AI編程工具,確保AI生成的代碼的安全性將成為一項基本要求。將AI驅動的安全檢測整合到開發流程中——實現「安全左移」——可能很快就會從最佳實踐變成行業標準。在AI代碼的洪流中,安全不能是事後想法,而必須是從一開始就嵌入的基石。