这篇文章看完后,我真正注意到的点不是比哪个模型更厉害。作者拿AI跑了一圈实际的安全研究测试。Semgrep直接没找到。Strix接GLM 5.1跑了12小时,花了接近6000万tokens,还是没抓到关键漏洞。Cursor配GPT 5.5偶尔能碰上,但结果不稳定,有时候有有时候没有。真正每次都稳稳打中的,是本地模型加上他自己写的那个harness。这个做法确实有意思。他没有让agent一口把整个仓库全审完,而是把项目拆开,一个源码文件一个源码文件地喂给模型,然后把报告收回来汇总。PHPIPAM的LFI漏洞就这样每次都能跑出来。后来他又拿myVesta试了试,大概8小时左右就挖到了一个authenticated RCE。我看这才是本地AI做安全研究最有价值的地方。不是说本地模型现在已经全面超过Claude或者GPT了。而是它不怕把token烧光钱包,不用把代码丢给第三方,也没有云端模型动不动就拒答的限制。在安全场景里,能自己掌握主动权,这点真的重要。
原文👇
https://projectblack.io/blog/local-ai-for-cyber-security/
#LocalAI #CyberSecurity #LLM #AIAgent #Pentest #CodeReview #SecurityResearch