SAGE 論文閱讀分析：很多漏洞 AI 真正卡住的，不是完全看不懂，而是關鍵漏洞訊號在它腦內太小聲

論文基本資訊

• 論文標題：SAGE: Signal-Amplified Guided Embeddings for LLM-based Vulnerability Detection
• 年份：2026
• 來源：arXiv:2604.19031 / ISSTA 2026
• 論文連結：https://arxiv.org/abs/2604.19031
• DOI：10.48550/arXiv.2604.19031
• 主題：AppSec、Vulnerability Detection、LLM Security、Mechanistic Interpretability、Sparse Autoencoders、Secure Code Analysis

很多人在看 LLM 做漏洞偵測時，直覺上的期待都很一致：模型既然已經很會看 code、很會理解函式語意，也比傳統規則更會跨專案、跨語言泛化，那它理論上應該比舊一代 static analysis 或 GNN 更容易抓到漏洞。

但現實一直沒有這麼順。很多模型明明能把程式在做什麼講得頭頭是道，到了真正要分辨「這段 code 是正常功能，還是藏著一個很小但很致命的安全缺陷」時，表現卻會忽然掉下來。

這篇 SAGE 最值得看的地方，就是它把這個落差解釋成一個很工程、也很 mechanistic 的問題：不是模型完全沒看到漏洞訊號，而是那個訊號被正常功能語意淹掉了。

作者把這個現象叫做 Signal Submersion。我覺得這個 framing 很好，因為它把「模型為什麼明明很聰明，卻還是漏掉安全細節」這件事，從抽象的能力不足，拉回到可被量測、可被修補的表徵問題。

這篇真正打到的是哪個痛點？

漏洞偵測和一般 code understanding 最大的差別，在於真正重要的訊號常常非常小。很多時候，漏洞不是整段程式都壞掉，而只是少了一個邊界檢查、一個型別轉換沒處理好、一條 control path 上漏了授權判斷、或一個 memory 操作剛好多了一步。

從模型角度看，這些細節通常只是大片「功能上看起來合理」的程式語意中的一小塊異常。如果 backbone 主要在優化的是一般 code semantics、completion fluency、跨檔案 reasoning，那些脆弱的安全訊號很容易在深層表示裡被更強的功能語意蓋過去。

作者的觀察非常直白：漏洞特徵不是不存在，而是 activation 強度太弱，最後在數值上被主導性的功能語意沖掉。 論文裡甚至直接指出，在 deep layers 中，vulnerability activations 可能只佔總 activation magnitude 的 不到 5%。

這很重要，因為它改變了問題定義。很多人會把 LLM 漏洞偵測做不好理解成：

• 模型不夠大
• 資料不夠多
• prompt 不夠精準
• fine-tuning 還不夠狠

但 SAGE 在講的是另一種瓶頸：

也許模型早就「隱約知道哪裡怪」，只是那個安全訊號在表示空間裡始終浮不上來。

SAGE 怎麼處理這件事？

作者提出的做法不是單純再做一次 supervised fine-tuning，而是用 task-conditional Sparse Autoencoders（SAEs） 去把那些被埋住的漏洞訊號拆出來、放大、再交給分類器判斷。

更具體地說，SAGE 的核心想法是：

1. 不要被動接受 LLM 最後吐出來的混合表示
2. 而是主動把表徵投影到較 sparse 的 manifold
3. 把安全相關的弱訊號和大量功能背景分開
4. 再讓 downstream classifier 在這個較乾淨的表示上工作

這個設計的價值在於，它不是再跟參數量硬拚，而是直接針對「訊號被淹沒」這件事下手。論文把這件事講成從 passive signal submersion 走向 active signal recovery，我覺得這個說法很準。

它有點像在做一種安全版的 feature surgery：不是期待更大的模型自己突然變得更敏感，而是外掛一層機制，把模型本來就有但快被埋掉的漏洞表徵救回來。

最值得記住的數字

這篇最該記住的不是某個單一 leaderboard 名次，而是幾個很能代表它主張的數字：

• vulnerability signal 在 deep layers 中可能不到總 activation magnitude 的 5%
• SAGE 可把內部 Signal-to-Noise Ratio（SNR）提升 12.7×
• 7B 模型可在 unseen distributions 上帶來最高 318% MCC 提升
• 在 classic datasets 上可達 319% MCC 提升
• 在 13 種程式語言 上維持跨語言 robustness
• 作者聲稱 7B + SAGE 可以打贏 34B baseline，甚至壓過部分商用 frontier models

這些數字之所以有意思，不只是因為漲幅大，而是因為它們支持了一個更關鍵的判斷：

在漏洞偵測這種任務上，真正缺的可能不是更多參數，而是更好的訊號解纏與放大機制。

論文的 benchmark 與評估觀點也值得肯定

這篇不是只挑一個乾淨資料集跑漂亮數字。作者用了 BigVul、PrimeVul、PreciseBugs，而且明講要處理資料污染與 memorization 問題，對 BigVul / PrimeVul 做 refined 與去重處理，對 PreciseBugs 採 temporal split，把評估往 zero-day detection 的方向拉。

這點很重要，因為現在很多 LLM-based vuln detection paper 真正的風險，不一定是模型太弱，而是 evaluation 太鬆，最後量到的可能只是 pretraining overlap 或 dataset leakage。

SAGE 這篇至少有努力把問題往比較健康的方向拉，特別是它強調：

• 漏洞資料高度不平衡
• accuracy 容易誤導
• MCC 比 F1 或一般 accuracy 更適合當核心指標

這個選擇我也認同。因為在漏洞偵測場景，false positive 和 false negative 都很痛，而 MCC 對 imbalance 的描述通常比只看 accuracy 誠實得多。

幾個具代表性的結果

論文裡有幾個結果特別能代表它的實務意義：

• 在 BigVul 上，SAGE（CodeLlama）寫到新高 0.7874 MCC
• 在 PrimeVul 上，SAGE（CodeLlama）達到 0.2375 MCC
• 在偏 zero-day 的 PreciseBugs 上，SAGE（Llama-3.1）達到 0.1178 MCC
• 論文明講這組結果在 PreciseBugs 上 超過 Claude Opus 4.5

如果你只看絕對值，會發現 PreciseBugs 的 MCC 其實沒有高到讓人可以直接拿去上 production。這反而是健康訊號：作者沒有把 zero-day 漏洞偵測包裝成已經解決的問題。

更合理的解讀是，SAGE 證明了在更貼近真實、更新穎、跨語言、較不容易靠記憶硬背的資料切分上，mechanistic intervention 的確比單純把模型越堆越大更有用。

這篇為什麼對 AppSec 很有價值？

因為它把一個很多人其實早就感覺到、但說不太清楚的現象講明白了：

很多模型不是不懂 code，而是不夠會在一大堆正常功能裡，牢牢盯住那個真正致命的小異常。

這對實務上幾條線都很重要：

• AI SAST / code review：幫你理解為什麼模型能講很多，但真正抓洞時還是會漏
• secure coding copilots：提醒你不能把一般 coding intelligence 直接等同於 security sensitivity
• evaluation design：與其只比大模型，不如比誰比較能把 security-relevant latent feature 拉出來
• defect triage：如果安全訊號本來就弱，後端 pipeline 更需要把 false positive / false negative 控制當成表徵工程問題

對今天的 AppSec 團隊來說，這篇最實際的啟發可能是：不要把漏洞偵測想成「換更大的 code model 就會自然變好」；很多時候，問題出在表徵層的訊號治理。

我特別喜歡它對「scale 迷思」的反擊

這篇其中一條很強的訊息，是它明講 parameter scaling 會遇到 plateau。論文甚至寫到，SAGE-7B 不只可以打過一些 34B baseline，訓練延遲還能明顯更低；例如相對某些 baseline，training latency 可降 80.8%，相對 ReVD 可到 26.7× 的差距。

這件事很值得資安圈記住。因為安全任務常常不是一般生成任務，很多時候你要抓的是：

• 稀少
• 細微
• 不平衡
• 不容易靠 fluency 贏過去

在這種情境下，scale 不是沒用，但它可能不是最划算的槓桿。SAGE 的論點比較像是：與其把模型做得更會說，不如讓它更不會漏掉那個本來就存在、只是太小聲的安全訊號。

這篇的限制也不能忘

當然，SAGE 也不是魔法。它有幾個限制還是要看清楚：

• 它的前提是 模型裡原本就存在某些可恢復的 vulnerability signals；如果新型攻擊向量根本不在 base model 知識裡，SAGE 也救不了
• PreciseBugs 上的絕對分數仍然不算高，表示真實 zero-day 漏洞偵測依舊很難
• 低資源語言的結果作者自己也提醒要保守看待
• 這條路雖然比純 scaling 聰明，但離 production-grade autonomous vulnerability detection 還有距離

不過這些限制不算扣分，反而讓這篇更可信。它不是在宣傳一個萬能漏洞 AI，而是在指出一個目前真的有效、也相對可工程化的改進方向。

我怎麼看這篇？

如果要把這篇濃縮成一句話，我會這樣說：

很多漏洞 AI 真正卡住的，不是模型完全不懂安全，而是安全訊號在它腦內從來都太小聲。

這也是為什麼我覺得它很適合接在最近幾篇 sectools.tw 已經在追的主線後面：我們今天一直在看的是 runtime validity、behavior filtering、false positive kill chain、dynamic behavior learning、formal exploitability。SAGE 則把同樣的精神搬到 LLM-based vuln detection 裡：不是只問模型有沒有能力，而是問那個真正重要的安全訊號，有沒有在系統裡被保留下來。

這個角度比單純再做一篇「某模型在某資料集又提升幾個點」有價值得多。

總結

SAGE: Signal-Amplified Guided Embeddings for LLM-based Vulnerability Detection 這篇論文最重要的貢獻，不只是提出一個新框架，而是把 LLM 漏洞偵測常見的失敗重新定義成 Signal Submersion 問題：漏洞特徵不是沒有被模型看見，而是被大量功能語意淹沒，導致最終判斷抓不到真正關鍵的安全細節。

作者用 task-conditional sparse autoencoders 去隔離並放大這些弱訊號，把內部 SNR 提升到 12.7×，並在 BigVul、PrimeVul、PreciseBugs 上取得最高 318% / 319% MCC 提升，甚至讓 7B 模型能跨 13 種語言、在部分設定下打贏 34B baseline 與商用 frontier model。

真正值得帶走的結論是：在 AppSec 這種細微、不平衡、容易被功能語意掩蓋的任務上，盲目放大模型不一定最有效；更重要的，是把那個原本就存在、但快被淹死的漏洞訊號救回來。

免責聲明

本文由 AI 產生、整理與撰寫。 內容主要依據公開論文、arXiv 頁面與可取得之研究資料進行彙整、解讀與摘要。儘管已盡力確保內容之完整性與可讀性，仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。本文內容僅供研究交流與知識分享參考，實際技術細節、實驗設定與最終結論，仍應以原始論文、官方文件及作者公開資料為準。