几十年来，静态应用安全测试（ SAST ）一直是安全团队扩展代码审查效率的最有效手段之一。 但在构建 Codex Security 时，我们有意做了不同的设计抉择：并没有先把静态分析报告导入，再让智能体去审理。我们从仓库本身出发——包括其架构、信任边界和预期行为——并在把问题交给人工之前，先尽可能验证发现是否成立。 原因很简单：最难发现的漏洞通常并非单纯的数据流问题。问题常发生在代码看起来有做安全检查，但该检查并不能真正保证系统所依赖的属性。换言之，挑战不只是追踪数据如何在程序中流动，而是判断代码里的防护真的能起作用吗。…