Cloudflare 的模型无关漏洞检测平台

关键信息

文章提到，这个系统最初只是一个大约 450 行的 security-audit 技能，用于单个仓库，之后才扩展为支撑七阶段审计流程的编排基础设施。该流程包括三个并行研究代理负责侦察、按攻击类别运行一个 Hunter 代理、用对抗性验证器质疑结果，并同时输出面向人工阅读的报告和结构化的 findings.json 架构。

资讯摘要

Cloudflare 表示，这篇新文章是对 Project Glasswing 的实用延续，后者研究了把前沿安全模型直接放到企业代码库上会发生什么。公司认为，AI 生态变化非常快，围绕单一模型构建的系统，一旦该模型不可用或被更强的模型取代，就会面临失效风险。其核心观点是，agentic 工作流的未来不在于单独的模型、提示词或单智能体会话。相反，安全分析应当构建成一个模型无关的 harness，让模型可以随时替换，而周围的工作流保持稳定。Cloudflare 还指出，真正的企业级系统不能只看单个仓库，还必须跨仓库依赖追踪漏洞。

与此同时，它需要把成千上万条原始候选结果筛选成一个经过可信分诊、可直接行动的修复队列。文章还提前回应了两个常见质疑：一是 subagents 是否已经足够，二是这篇文章是否只是为前沿模型做宣传。Cloudflare 的回答是，subagents 有用，但安全工作需要持久化、去重、可恢复以及跨运行协调，这些都是编排问题，不是单靠提示词就能解决的问题。它还强调，真正长期有效的是 harness 本身，而不是某个特定模型；把不同前沿模型放到同一目标上时，它们各自会发现不同部分的漏洞。

来源与参考

1. 原始链接
2. Build your own vulnerability harness