打开网易新闻 查看精彩图片

去年一家安全团队处理了2.3万个漏洞告警,真正被利用的不到40个。剩下的时间,工程师在跟误报搏斗,产品经理在跟安全团队扯皮,CTO在解释为什么又延期了。

这是Appknox调研中反复出现的场景。这家成立十余年、累计融资仅66.9万美元的新加坡公司,今天扔出一款产品叫KnoxIQ,试图用AI把漏洞修复从"考古现场"变成"急诊室"。

从"发现漏洞"到"修复漏洞",中间隔着一片沼泽

从"发现漏洞"到"修复漏洞",中间隔着一片沼泽

传统安全工具的工作流像一条生锈的传送带:扫描器吐出大量告警,按CVSS评分(通用漏洞评分系统)标上"高危""严重",然后扔进Jira等开发团队认领。问题是,CVSS 9.0的漏洞可能根本利用不了,CVSS 6.5的反而可能是入口。

Appknox产品负责人Raghunandan J打了个比方:「这就像医院按体温排序收治病人,而不是看谁真的在失血。」

更麻烦的是AI辅助编程的普及。GitHub Copilot、Cursor这类工具让代码产出速度翻倍,漏洞也同步翻倍。安全团队的人头没涨,要审的代码量却指数级上升。2024年某头部云厂商的内部数据显示,AI生成代码的漏洞密度比人工编写高出17%,但修复周期反而更长——因为开发者更信任AI,觉得"它写的应该没问题"。

KnoxIQ的设计逻辑是:在"发现"和"修复"之间插入一个智能层,做三件事——验证漏洞是否真实存在、按实际可利用性排序、生成可直接用的修复代码。

二进制分析+运行时行为:不看代码看什么

二进制分析+运行时行为:不看代码看什么

多数静态分析工具(SAST)盯着源代码找模式匹配。KnoxIQ走另一条路:分析编译后的二进制文件,观察运行时行为。

这个技术路径的取舍很现实。源代码分析快,但容易被混淆和动态加载绕过去;二进制分析慢,但能看见程序真正在干什么。Appknox把它叫"binary-to-remediation"(二进制到修复)模型,核心假设是:漏洞的危险程度不取决于代码看起来多丑,而取决于攻击者能不能真的利用它。

具体实现上,KnoxIQ用AI做三件事。第一,自动化验证——扫描器报出的漏洞,系统会尝试构造 proof-of-concept(概念验证攻击),确认不是误报。第二,可利用性评分——结合运行时上下文,判断这个漏洞在真实环境里能不能被触发。第三,生成修复代码——不是给通用建议,而是针对你的代码库、你的框架版本,输出可以直接commit的补丁。

Raghunandan J解释:「我们消除噪音,交付开发者能立即使用的修复方案。」这句话的潜台词是:安全团队不用再当"翻译官",把扫描器输出解释给开发听。

插进Cursor和Claude Code:安全工具终于学会"入乡随俗"

插进Cursor和Claude Code:安全工具终于学会"入乡随俗"

KnoxIQ的一个产品细节值得注意:原生集成Cursor、Claude Code等AI编程工具。

这不是简单的插件逻辑。传统安全工具的集成方式是"我开个API,你自己来调",结果是开发者需要跳出工作流,去另一个系统看告警。KnoxIQ的做法是把修复建议直接塞进开发者正在用的AI对话里——你在Cursor里问"这个函数怎么优化",它可能顺便告诉你"这里有个SQL注入,这是补丁"。

这个设计反映了一个被长期忽视的事实:安全工具的用户体验,很大程度上取决于它离开发者的光标有多近。

Appknox的竞品们并非没意识到这点。Snyk、SonarQube都有IDE插件,但多数停留在"高亮告警"层面。KnoxIQ的差异化在于,它试图把AI验证和修复生成也搬进这个流程,让安全建议带有"已验证"标签和"可执行"属性。

当然,集成深度取决于Cursor和Claude Code的开放程度。Appknox没有披露具体的技术实现方式,是MCP协议(模型上下文协议)还是私有API,目前不得而知。

66万美元融资,凭什么跟巨头掰手腕

66万美元融资,凭什么跟巨头掰手腕

Appknox的融资履历在网络安全赛道显得寒酸。据Tracxn数据,公司累计融资66.9万美元,投资方是Seed Plus Ventures和Jungle Ventures两家东南亚早期基金。对比Snyk的10亿美元估值、Wiz的百亿美元身价,这几乎是个零头。

但小公司的优势在于船小好调头。KnoxIQ的架构没有历史包袱,可以从头设计为"AI原生"——不是给旧产品套个AI壳子,而是把AI推理作为核心工作流。Raghunandan J强调,系统的可利用性评分和修复生成都是模型驱动,而非规则引擎。

这个技术路线的风险也很明显。AI验证的准确率能到多少?Appknox没有给出具体数字。证明概念攻击的生成,在复杂业务逻辑场景下是否可靠?需要更多实战检验。更重要的是,二进制分析的计算成本远高于静态扫描,规模化部署时的经济性存疑。

不过Appknox的定位本来就不是"大而全"。它专注移动应用安全,客户以金融、电商、出海企业为主。这些场景对漏洞的"真实可利用性"极度敏感——一个支付App的证书固定绕过,比某个内部后台的XSS(跨站脚本攻击)值得优先处理100倍。

KnoxIQ的定价策略尚未公布。但考虑到融资规模,它不太可能走免费增值路线,更可能是按扫描量或开发者席位收费的中高端定价。

一个值得观察的信号是:Appknox在新闻稿中反复提及"AI-native"(AI原生),却避谈具体用了哪些模型。是自建微调模型,还是调用第三方API?这个选择将直接影响产品的成本结构和响应速度。

如果KnoxIQ能在特定场景下证明"AI验证+二进制分析"的组合确实比传统CVSS评分更有效,它可能推动整个行业重新思考漏洞优先级的定义方式。但如果验证环节的误报率压不下来,它不过是给安全团队增加了另一层噪音。

你的团队现在怎么处理漏洞优先级?还相信CVSS评分,还是已经开始看实际利用链了?