全球7000种语言,AI能翻译的不到200种。而在网络安全领域,一个更隐蔽的瓶颈正在拖慢整个行业的响应速度——漏洞发现已经压缩到小时级,修复却还在按季度排队。
以色列AI渗透测试初创公司Novee Cyber Security Ltd.今天推出Agentic Fix功能,直接把验证过的漏洞利用路径塞进开发者每天都在用的AI编程助手。Claude、Codex、Copilot、Cursor、Devin——选一个,漏洞修复方案自动变成代码提交请求。
这个产品的逻辑很直接:用发现漏洞时的同一套攻击上下文,生成修复指导,再路由给开发者已经嵌入工作流的工具。不需要新建工单系统,不需要安全团队手动写修复建议,更不需要工程师在十几个界面之间来回切换。
Novee的联合创始人兼CEO Ido Geffen说得很直白:"AI编程助手已经在帮工程团队每天写代码、重构代码。让它们指向修复队列是显而易见的下一步。缺失的是经过验证的安全上下文和编排能力——这就是Novee提供的。"
具体流程是这样的:Novee识别漏洞后,自动生成详细的GitHub issue,附带针对客户应用的特定攻击路径验证过的修复指导。开发者选定的编程助手基于这些上下文生成修复代码,打开pull request。代码合并后,Novee重新评估受影响资产,确认原始漏洞已解决。
这个设计刻意避开了"强制工程师适应新工作流"的陷阱。开发者继续用已经嵌入流程的编程助手,安全团队保留验证过的攻击上下文——用来确认修复针对的是根本原因,而非表面症状。
背景是清晰的:自主测试工具把漏洞发现时间从季度压缩到小时,但分类、分配、修复、复测仍然是手工操作。可利用的问题堆积在工程待办列表里,攻击窗口期被人为拉长。
Novee今年1月正式成立,由三位前国家级进攻性安全操作员创立:Ido Geffen、Gon Chalamish和Omer Ninburg。公司已获得5150万美元融资,投资方包括YL Ventures、Canaan Partners以及Zeev Ventures的Oren Zeev。
Agentic Fix现已向所有Novee客户开放。
这个发布指向一个更深层的问题:安全工具的创新长期集中在"发现"环节,而修复端的自动化程度明显滞后。原因不难理解——发现漏洞可以标准化,修复却高度依赖具体代码上下文。Novee的解法是把攻击验证时的完整上下文"喂"给AI编程助手,让修复建议不再是泛泛而谈的安全最佳实践,而是针对特定利用路径的精准补丁。
值得观察的是集成深度。目前Novee支持的五款编程助手覆盖了主流选择,但每个工具的上下文窗口、代码理解能力和安全策略各不相同。同样的漏洞描述在Claude和Devin中可能生成质量差异明显的修复方案,Novee如何确保输出一致性尚未披露技术细节。
另一个悬而未决的问题是责任边界。当AI编程助手基于Novee提供的上下文生成修复代码,谁对修复的有效性负责?Novee的复测环节确认了漏洞是否解决,但如果修复引入了新的安全问题,责任链条如何划分——这在企业采购决策中将是关键考量。
融资规模反映了市场对这一方向的押注。5150万美元的初始资金在网络安全初创公司中属于头部梯队,尤其是公司今年1月才正式亮相。YL Ventures和Canaan Partners的联合投资表明,机构资本认为"发现-修复"闭环的自动化是真实存在的痛点,而非伪需求。
从行业格局看,Novee切入的是一个拥挤但碎片化的市场。传统漏洞扫描厂商(如Tenable、Qualys)拥有企业客户基础但AI能力薄弱;AI原生安全公司(如Snyk、Semgrep)聚焦代码安全但渗透测试深度不足;GitHub、Anthropic等编程助手厂商则缺乏经过验证的攻击上下文。Novee试图占据的交叉地带——AI驱动的渗透测试与AI编程助手的 orchestration——目前尚无明确领导者。
Agentic Fix的即时可用性暗示产品成熟度较高,而非概念演示。对于已经使用Novee渗透测试平台的客户,这是功能扩展;对于潜在买家,这提供了一个评估标准:安全工具是否真正嵌入开发工作流,还是仍然停留在独立的扫描报告阶段。
Geffen的背景值得关注。作为前国家级进攻性安全操作员,他对攻击者的思维方式有 firsthand 经验,这体现在Novee的产品设计中——不是列出理论上的漏洞,而是提供验证过的利用路径。这种"红队视角"在自动化安全工具中相对稀缺,大多数产品由防御方思维主导。
然而,国家级攻击经验与商业化产品之间存在张力。政府层面的渗透测试通常针对特定高价值目标,可以投入大量人工分析;企业级产品需要规模化、标准化,可能稀释这种深度。Novee如何在扩张中保持攻击验证的质量,将是长期挑战。
编程助手厂商的态度也将影响这一模式的可持续性。目前Novee通过API集成接入Claude、Codex等工具,但如果这些平台未来收紧第三方安全数据的接入政策,或者推出竞争性的漏洞修复功能,Novee的 orchestration 价值可能受到侵蚀。特别是GitHub Copilot,其母公司微软同时运营着庞大的安全业务(Microsoft Defender、Sentinel),内部协同开发类似功能并非不可能。
从用户视角看,Agentic Fix的最大卖点是"不增加认知负担"。开发者不需要学习新的安全工具界面,安全团队不需要手动翻译技术发现为业务语言。这种"隐形集成"策略在企业软件中往往比功能堆砌更有效,前提是可靠性足够高——误报或低质量的自动修复建议会迅速消耗用户信任。
Novee选择从渗透测试而非静态代码分析切入也有讲究。渗透测试发现的是可利用的漏洞,而非仅仅是代码缺陷,这意味着修复的优先级更明确。对于安全团队,这提供了与工程团队沟通的筹码:不是"代码规范建议",而是"攻击者可以这样做"。
复测环节的自动化同样关键。传统模式下,修复验证往往被推迟或跳过,因为需要重新配置测试环境。Novee的闭环设计确保每个修复都被确认,这在合规敏感的行业(金融、医疗、关键基础设施)具有直接价值。
不过,完全自动化的修复流程在企业中的接受度仍存疑。许多组织有强制的人工代码审查要求,特别是涉及核心系统的变更。Novee的pull request模式保留了人工介入点,符合当前的企业实践,但也限制了"全自动修复"的愿景。
投资方的构成提供了额外信号。YL Ventures专注于以色列网络安全初创公司, portfolio 包括Cato Networks、Axonius等成功退出案例;Canaan Partners是老牌风投,在企业软件领域有深厚积累。Oren Zeev的个人参与则带有天使投资人的背书性质,他此前在网络安全领域的投资包括Zscaler、Checkmarx等。
5150万美元的资金规模相对于公司阶段(刚正式运营5个月)显得激进,可能反映了创始团队的 track record 或早期客户的积极反馈。在当前的融资环境下,网络安全仍是相对抗周期的赛道,但投资者对单位经济模型和续约率的 scrutiny 也在加强。
Agentic Fix的定价策略尚未披露。作为平台扩展功能,它可能包含在现有订阅中,也可能作为高级模块单独销售。后者的可能性较大,因为涉及额外的API调用和计算资源消耗。
从更宏观的技术趋势看,Novee的产品是"AI agent orchestration"在安全领域的具体应用。多个专用AI代理(渗透测试代理、编程代理)通过结构化数据交换协作完成任务,而非依赖单一通用模型。这种架构在复杂企业工作流中可能比端到端的单一大模型更可靠,但也增加了系统集成和维护的复杂度。
竞争对手的回应将是接下来的观察重点。如果Agentic Fix获得市场验证,预计会有类似功能从现有安全厂商或编程助手平台推出。Novee的窗口期在于其攻击验证的深度和与多款编程助手的预置集成,但这些壁垒并非不可逾越。
对于CISO(首席信息安全官)群体,Novee提供了一个评估框架:安全工具的投资回报率不应仅衡量发现漏洞的数量,而应追踪从发现到修复关闭的完整周期时间。Agentic Fix的卖点正是压缩这个周期,但其效果取决于组织现有的开发工作流成熟度和AI编程助手的采用率。
在开发者体验与安全控制之间,Novee明显偏向前者。这不是批评——历史上成功的开发者工具往往遵循这一原则。但如果安全团队感到被边缘化,或者对AI生成修复的可靠性存疑,采用可能遇到内部阻力。
最终,Agentic Fix的价值将在具体的客户场景中验证:修复时间是否真的缩短?误报率是否可控?安全与工程团队的协作摩擦是否降低?这些问题的答案将决定5150万美元融资能否转化为可持续的业务增长。
热门跟贴