AnyPoC 論文閱讀分析：真正把 AI 漏洞挖掘往前推的，不是多報幾個可疑 bug，而是能不能自動產出可執行 PoC 並擋掉假陽性

論文基本資訊

• 論文標題：AnyPoC: Universal Proof-of-Concept Test Generation for Scalable LLM-Based Bug Detection
• 作者：Zijie Zhao 等人
• 年份：2026
• 來源：arXiv:2604.11950
• 論文連結：https://arxiv.org/abs/2604.11950
• 主題：LLM Agents、Bug Detection、PoC Generation、Security Engineering、Autonomous Validation、Hallucination Control

AnyPoC 這篇論文真正有意思的地方，不是它又證明了一次 LLM 會找 bug，而是它把大家最容易跳過、但其實最決定實戰價值的一段補上了：找到可疑 bug report 只是第一步，真正麻煩的是你能不能自動把它驗成一個可執行、可重現、可交付的 PoC。

這正是現在很多 AI security tooling 的尷尬點。模型很會說「這裡可能有漏洞」，但一到驗證環節就開始飄：不是產出看起來很像、其實不能跑的 exploit skeleton，就是自己腦補成功 trace，最後讓整個流程停在半自動、半人工的尷尬地帶。AnyPoC 的核心價值，就是把 bug detection 從靜態猜測拉回 execution evidence。

作者的主線很清楚：如果沒有 PoC validation，LLM-based bug detection 的上限很快就會被 false positives、hallucinated traces 與 reward hacking 卡死。 所以這篇不是再做一個更會報 bug 的 agent，而是做一個能把候選 bug 變成可驗證測試的 multi-agent validation framework。

這篇論文在解什麼問題？

近一年很多 agentic bug finding 或 security code analysis paper 都能產生不少 candidate reports，但對安全工程來說，真正有價值的不只是「有沒有報到」，而是：

• 這個 bug 到底能不能被實際觸發？
• PoC 是不是可重現、可交接、可變成 regression test？
• 模型是不是只是在迎合評分機制，吐出看似合理的 exploit 敘事？

也就是說，很多現有系統真正缺的不是再多一層 reasoning，而是一個可靠的 validation loop。作者把這件事講得很實際：如果 bug report 不能被轉成 executable proof-of-concept，那它對大規模自動化漏洞發掘的幫助仍然有限。

安全場景裡，能不能跑出證據，通常比「講得像不像」更重要。

方法設計：不是單一 agent，而是一條會自我交叉驗證的 PoC 產生鏈

AnyPoC 不是把一個大模型丟進 repo 就期待奇蹟。它做的是比較合理的 agentic decomposition，把流程拆成三段：

• 先分析並 fact-check 候選 bug report
• 再迭代合成、執行並觀察 PoC
• 最後交給獨立驗證路徑重新執行與審核

這個設計的重點，不只是分工，而是故意避免同一個 agent 同時當檢察官、辯護律師和法官。如果讓同一條 agent trace 從懷疑漏洞一路寫 PoC 再自己宣布成功，很容易發生 reward hacking：它會優化成看起來像成功，而不是實際成功。

因此 AnyPoC 額外強調兩個東西：

• execution traces：不是只看文字解釋，而是看程式、命令、輸入、回傳結果
• independent re-execution：把驗證從原本的生成 agent 切開，降低自說自話

這其實很像安全工程裡常見的精神：不是只信宣稱，而是信 evidence；不是只信單一路徑，而是做獨立重驗。

另一個亮點：PoC knowledge base 會持續長出來

AnyPoC 不只是一次性的 PoC 工具。作者還做了一個會持續抽取並演化 PoC knowledge base 的機制，目的是讓系統能跨不同語言、不同框架、不同漏洞型態逐漸累積「怎麼驗證」的 operational knowledge。

這點很關鍵。因為漏洞驗證不是純推理問題，它其實高度依賴 execution pattern：怎麼組輸入、怎麼啟動程式、怎麼看錯誤訊號、怎麼區分 crash、assertion、resource exhaustion、logic corruption。把這些東西從單輪 agent output 拉成可累積知識庫，才比較像一條能擴張的工程路線。

評估場景：不是 toy repo，而是 12 個大型真實系統

作者最加分的一點，是沒有停在小型 benchmark。AnyPoC 被拿去配合一個簡單的 bug-reporting agent，在 12 個 critical software systems 上實驗，裡面包含很多大家熟到不能再熟的大型專案：

• Firefox
• Chromium
• LLVM
• OpenSSL
• SQLite
• FFmpeg
• Redis

這個設定代表它不是在做「模型能不能解一道 curated CTF 題」，而是在測：當 codebase 很大、語言跟 domain 很雜、而且真實工程行為很 messy 時，這條 PoC 驗證鏈還有沒有用。

最重要結果一：比起現成 coding agents，AnyPoC 更像真的在做 validation

論文最值得記的核心結果有兩個：

• 相較於 Claude Code、Codex 等 state-of-the-art coding agents，AnyPoC 對 true-positive bug reports 產出 1.3 倍更多有效 PoC
• 對 false-positive bug reports，AnyPoC 可拒絕 9.8 倍更多假警報

第二點尤其重要。很多人看 LLM 安全工具時，只盯著「找到多少 bug」，但對實際團隊來說，能不能少浪費時間追假洞，通常跟多找到幾個真洞一樣重要。 如果一個系統很會報案、卻不會排除自己幻想出來的問題，那最後只會把 analyst 或 security engineer 的時間燒光。

AnyPoC 的價值，就在它不只是提高 recall，而是同時改善 validation precision。

最重要結果二：這不是 paper demo，它已經真的找到新漏洞

作者不是只交 benchmark 分數，還給了很硬的實戰結果：

• 總共發現 122 個新 bug
• 其中 105 個已被確認
• 86 個已經修補
• 還有 45 個自動產生的 PoC 被正式採納成 regression tests

這組數字很漂亮，但我覺得真正值得注意的是最後那個：PoC 被吸收進 regression tests。 這表示它不是只停在研究展示，而是真的把 AI 產物接進安全工程 lifecycle。從發現、驗證、修補到防回歸，這才是 production value。

這篇論文真正戳破的一件事：靜態 bug report 很容易高估 agent 能力

我覺得 AnyPoC 最值得帶走的，不只是一個新框架，而是一種評估觀點的修正：如果一個 LLM agent 只能產生 plausibly-worded bug reports，卻不能把其中一大段真的跑成 exploit 或 testcase，那我們很可能高估了它的安全能力。

這點跟最近很多 agent benchmark 的共同問題很像：系統在紙面上看起來超強，但一碰 execution、verification、reproducibility，就開始失真。AnyPoC 等於把這個落差攤開來說：漏洞發現如果沒有 validation oracle，最後很容易變成一種會自我感動的文字遊戲。

我怎麼看這篇？

我會把 AnyPoC 看成一篇把 AI security tooling 往工程成熟度推進一步的論文。它沒有停在「模型可以幫你找 bug」這個已經有點疲乏的命題，而是補上更關鍵的一段：怎麼把候選漏洞壓成能執行、能重驗、能落到 regression pipeline 的測試證據。

而且它的 framing 很對。安全世界裡最危險的，不一定是模型找不到問題，而是它很有自信地幫你浪費時間。所以能大幅提高 false positive rejection，甚至比多撈幾個可疑 case 還更值錢。

當然，這篇也不是沒有邊界。PoC generation 本身就很依賴可執行環境、建置成功率、測試 harness、權限、依賴版本與 deterministic reproduction；而且不同類型漏洞的驗證成本差很多，不是所有安全問題都能用統一 PoC pipeline 解。但即便如此，它還是把討論從「agent 會不會講」拉回「agent 能不能證明」，這一點非常對。

重點整理

• AnyPoC 要解的不是單純 bug finding，而是怎麼把 candidate bug report 自動轉成 executable PoC，讓漏洞驗證能擴展。
• 核心問題在於：很多 LLM agent 會產生看似合理但實際不可執行的 PoC，或直接 hallucinate 成功痕跡。
• AnyPoC 採用 multi-agent validation framework：先 fact-check 報告，再迭代生成與執行 PoC，最後做獨立重驗。
• 系統還會持續建立 PoC knowledge base，把驗證經驗變成可累積的 operational knowledge。
• 在 12 個大型真實系統上，AnyPoC 相較 Claude Code / Codex 類 baseline，能產生1.3x 更多有效 PoC，並拒絕9.8x 更多 false-positive bug reports。
• 截至論文撰寫時，AnyPoC 已發現122 個新 bug、105 個確認、86 個已修，另有45 個 PoC 被採納為官方 regression tests。
• 這篇最該記住的不是「AI 會找洞」，而是：沒有 execution evidence 的漏洞報告，常常不足以代表真正可用的安全能力。

Takeaway

AnyPoC 真正補上的，是 LLM-based security tooling 裡最缺的一層：把漏洞發現從語言層拉回證據層。 當模型開始不只是報告「這裡可能有問題」，而是能生成、執行、重驗、沉澱成 regression test，AI 在安全工程裡才比較像是在交付成果，而不是交付一份很會寫的猜測。

如果你在做 AppSec、agentic bug finding 或 AI-assisted secure development，這篇很值得記住的一句話大概是：在漏洞世界裡，真正能擴張規模的從來不是懷疑本身，而是驗證能力。