Anthropic 在 2026 年 5 月 27 日發布 Using LLMs to secure source code。
這次更新的重要訊號是:AI 已經能幫資安團隊更快找到可疑漏洞,但真正困難的部分正在往後移。
過去瓶頸是 discovery。現在 discovery 可以大量平行化,瓶頸變成 verification、triage、patching。
LLM 掃原始碼可以做什麼?
比較健康的使用方式不是「把 repo 丟給 AI,叫它找漏洞」。
應該拆成幾個階段:
| 階段 | LLM 可以幫什麼 |
|---|---|
| Threat modeling | 整理攻擊面、資料流、信任邊界 |
| Discovery | 找可疑 code path、危險函式、輸入驗證缺口 |
| Verification | 協助推理可達性與觸發條件 |
| Triage | 協助分級與去重 |
| Patching | 產生修補方向、測試與回歸檢查 |
LLM 最適合做的是加速閱讀、提出假設、整理證據。
它不適合單獨做最終判定。
為什麼 verification 變重要?
模型很容易找到「看起來可疑」的片段。
但資安團隊真正需要的是:
- 是否可達。
- 是否可利用。
- 影響範圍多大。
- 是否已有防護。
- 是否和既有 finding 重複。
- 修補是否會造成回歸。
如果沒有驗證流程,LLM 只會把噪音放大。
實務流程建議
可以用這個工作流:
- 先讓模型做 threat model,不急著找 bug。
- 根據攻擊面分批掃描重要模組。
- 要求每個 finding 附上資料流與觸發條件。
- 用第二輪模型或工具做反方驗證。
- 只把高信心 finding 丟進人工 triage。
- patch 一定要配測試。
- 把錯誤 finding 回饋到提示詞和規則。
這樣才不會讓工程團隊被未驗證報告淹沒。
適合先掃哪些程式碼?
第一波可以先挑:
- 認證與授權。
- 檔案上傳。
- 反序列化。
- SQL 或 query builder。
- shell command。
- 網路協議解析。
- payment flow。
- webhook endpoint。
這些區域一旦出錯,風險通常比較高。
結論
LLM 會讓 source code security 更快,但不會讓資安流程消失。
真正有效的團隊會把模型放進一個可驗證、可去重、可修補的 pipeline。
重點不是讓 AI 產生更多 finding,而是讓正確 finding 更快進入修補。