# 这篇文章看完后，我真正注意到的点不是比哪个模型更厉害。作者拿AI跑了一圈实际的安全研究测试。Semgrep直接没找到。Strix接GLM 5.1跑了12小...
Canonical: https://social-archive.org/yena/BSb1SK6W4x
Original URL: https://x.com/apivixtls/status/2072585793684570266
Author: zhao
Platform: x
## Content
这篇文章看完后，我真正注意到的点不是比哪个模型更厉害。作者拿AI跑了一圈实际的安全研究测试。Semgrep直接没找到。Strix接GLM 5.1跑了12小时，花了接近6000万tokens，还是没抓到关键漏洞。Cursor配GPT 5.5偶尔能碰上，但结果不稳定，有时候有有时候没有。真正每次都稳稳打中的，是本地模型加上他自己写的那个harness。这个做法确实有意思。他没有让agent一口把整个仓库全审完，而是把项目拆开，一个源码文件一个源码文件地喂给模型，然后把报告收回来汇总。PHPIPAM的LFI漏洞就这样每次都能跑出来。后来他又拿myVesta试了试，大概8小时左右就挖到了一个authenticated RCE。我看这才是本地AI做安全研究最有价值的地方。不是说本地模型现在已经全面超过Claude或者GPT了。而是它不怕把token烧光钱包，不用把代码丢给第三方，也没有云端模型动不动就拒答的限制。在安全场景里，能自己掌握主动权，这点真的重要。 原文👇 https://projectblack.io/blog/local-ai-for-cyber-security/ #LocalAI #CyberSecurity #LLM #AIAgent #Pentest #CodeReview #SecurityResearch [Local AI for Penetration Testing & Research](https://t.co/8LmsQNtW0R)
