Original Sin of npm 論文閱讀分析:很多 JavaScript 供應鏈真正危險的,不是你今天又裝了哪個新套件,而是那幾個老洞早就沿著 dependency graph 長成整片陰影
這篇論文最有意思的地方,不是再一次提醒 npm 供應鏈有風險,而是清楚指出:少數高頻老漏洞會沿著 dependency network 被整個生態反覆繼承,讓 JavaScript 供應鏈風險更像結構性傳染,而不是零星個案。
2026 年 4 月 22 日
AppSec
2026
GLMTest 論文閱讀分析:很多 LLM 測試工具真正缺的,不是再多生幾組 testcase,而是能不能精準打到你最怕出事的那條 branch
這篇研究最值得看的,不是 LLM 又多會寫 testcase,而是它把安全測試的焦點從泛泛 coverage 拉回真正有風險的 execution path:透過 code property graph、GNN 與 LLM 聯訓,讓模型更有機會精準打進指定 branch,而不是只靠 prompt 運氣。
2026 年 4 月 22 日
安全教學論文閱讀分析:真正有感的 secure coding 訓練,往往不是再多一份通用教材,而是把洞打回你自己的程式裡
這篇研究最值得看的,不是 LLM 又多會寫 code,而是它把安全教學往真正個人化推進一步:直接把特定 CWE 注入學生自己的程式裡,讓 secure coding 不再只是看陌生範例,而是回頭看見自己平常最可能怎麼把洞寫出來。
2026 年 4 月 22 日
安全訓練 × AI Coding 論文閱讀分析:很多團隊真正該補的,不是再等更安全的模型,而是先把用模型的人教對
這篇研究最值得看的,不是它又說了一次 AI coding 有風險,而是它直接證明:在固定模型不變的情況下,只靠開發者安全訓練,就能明顯壓低 LLM-assisted backend development 的實際弱點負擔,尤其是 authorization、object access 與 authentication 類高風險問題。
2026 年 4 月 21 日
AnyPoC 論文閱讀分析:真正把 AI 漏洞挖掘往前推的,不是多報幾個可疑 bug,而是能不能自動產出可執行 PoC 並擋掉假陽性
論文基本資訊 論文標題:AnyPoC: ...
2026 年 4 月 18 日
PAGENT 論文閱讀分析:當漏洞報告真正卡住時,問題常常不是你知不知道哪裡有洞,而是你還做不出能穩定重現它的那個 PoC
PAGENT 論文閱讀分析:當漏洞報告真...
2026 年 4 月 18 日