LLM安全代理发现零日漏洞

一篇技术安全文章详细介绍了LLM安全代理在知名LLM工程平台（在GitHub上拥有16,000颗星）中发现了一个零日漏洞，该漏洞被分配了CVE编号CVE-2025-59305。

技术讨论要点

传统安全工具的局限性

文章引用了一段关键论述：

安全团队对这些漏洞带来的风险视而不见，因为传统的SAST扫描器无法识别这些缺陷。它们是模式匹配器，可以验证身份验证是否存在，但在架构上无法理解使管理员API与用户API不同的业务逻辑。

行业实践争议

在后续讨论中，安全专家们对实际安全实践提出了质疑：

• 质疑有多少安全团队仅仅依赖SAST，而没有主动测试授权和业务逻辑问题
• 强调手动Web应用渗透测试的必要性
• 指出这可能是一个AI生成的服务广告，发现了未经测试或测试不足应用中的相对低悬果实

企业安全现状

来自财富500公司的应用安全专家分享了现实情况：

• 大多数大型企业仅仅依赖SAST
• 渗透测试成本高昂，公司更关注成本而非安全
• 接受风险并在发生泄露后应对，通常比主动安全措施更便宜

AI在安全领域的未来

• 提出“现在是否会有AI代理发现和利用漏洞”的问题
• 希望“好人能够先发现和修补漏洞，而不是让坏人先发现和利用”

技术社区反应

技术社区对此发现表现出浓厚兴趣，认为这展示了AI在代码安全审计方面的应用前景，特别是在识别传统工具难以发现的业务逻辑漏洞方面。