⚠️ 如果你只会用聊天型大模型,最近又想跟 AI 新工具,这条就是写给你这种普通人的。你刚刷到这次“事件编号” Incident CVE-2026-LGTM,本来想划走,又怕错过关键判断。[C001] 最容易做错的不是没跟,而是把问题想错:只看热闹,你会把时间、预算和注意力花在错的地方。
我原来也以为,这类事是在比模型聪不聪明。后来才改口:真正的洞,是把“看起来没问题”(LGTM)当安全结论。[C002] 省下来的像是10分钟,赔进去的可能是一整条自动流程。
一个研究在真实 GitHub 工作流里复现了11类攻击,关键漏洞在自动发布流程怎么处理凭证、配置和权限,不是某个模型单点失误。[C003] 另一个实验发现,只要把变更包装成“没问题”,模型辅助审查就会被带偏;迭代式上下文注入在实验里做到100%成功,要把附带信息先脱敏、再给明确指令,检测才会恢复。[C004]
所以这次最该改的,不是“以后别用模型”,而是别让模型一句“看起来没问题”直接触发合并、上线或自动执行。一条更新值不值得看,不看它列了多少功能,先看它会不会改掉你下一步的判断。
边界也得说清:这不是说所有代码评审都没用。风险主要集中在模型参与审查、又能顺手按下下一步的场景。要是你正准备让模型帮你看合并申请(正式并代码前那一步)、审配置、跑自动流程,这条先存一下。以后再看到“看起来没问题”,先别把它当通过。
🤔 你现在最想先避开的,是哪一个坑?