LLMVD.js 論文閱讀分析:很多 Node.js 漏洞真正卡住的,不是找不到 sink,而是最後證不出它真能打
這篇論文真正補到的,不是又一個會喊這裡可能有洞的 AppSec agent,而是把 LLM 放進 exploit-oriented confirmation loop:先找候選、再寫 PoC、再跑 oracle,把 Node.js 漏洞發現從 pattern matching 往真正 exploitability 拉近。公開 benchmark 上確認率 83.75%,在 260 個新發布 npm packages 中最後人工驗證出 36 個有效漏洞。
2026 年 4 月 23 日