为什么 Codex Security 不包含 SAST 报告

Codex Security 特意避免从静态应用安全测试 (SAST) 报告开始分析，因为最难发现的漏洞通常源于错误的安全性假设，而非简单的数据流跟踪。SAST 模型难以确认一个声称的防御（如消毒器）在特定的渲染上下文或后续转换下是否真正充分。Codex Security 转而首先分析代码库的架构和意图，然后通过推理整个转换链来验证发现，通常使用微模糊测试或 z3 等求解器进行形式化。从 SAST 报告开始分析会带来过早聚焦、引入难以消除的隐性假设，并掩盖代理自身分析贡献的风险。其目标是超越仅仅识别检查点，转而证明底层不变量是否成立，重点关注纯粹的源到汇分析所遗漏的复杂问题，如操作顺序错误和状态/不变量问题。

(来源：OpenAI)