AI Coding 論文閱讀分析:模型最危險的,不一定是不懂安全,而是最後一刻把安全讓給了格式與方便
這篇論文最重要的發現,不是 LLM 會寫出有漏洞的程式,而是它很多時候其實知道什麼才是安全寫法;真正出錯的是生成最後階段,安全訊號被格式服從、任務完成與便利性需求壓過去。作者進一步用 mechanistic analysis 找到 suppression 發生的位置,並用 per-CWE activation steering 做局部修補。
2026 年 4 月 22 日
Secure Coding
2026
AI Coding 論文閱讀分析:真正危險的,常常不是模型明顯寫壞,而是把有洞的程式包裝成看起來能放心 merge 的答案
這篇論文最重要的提醒,是在一般、看似無害的 LLM 寫碼任務裡,功能正確不代表安全正確;真正麻煩的是那些會讓團隊產生錯誤安全感的輸出——程式能跑、測試能過、外觀看起來像樣,卻仍把漏洞一起交付出去。
2026 年 4 月 22 日
安全教學論文閱讀分析:真正有感的 secure coding 訓練,往往不是再多一份通用教材,而是把洞打回你自己的程式裡
這篇研究最值得看的,不是 LLM 又多會寫 code,而是它把安全教學往真正個人化推進一步:直接把特定 CWE 注入學生自己的程式裡,讓 secure coding 不再只是看陌生範例,而是回頭看見自己平常最可能怎麼把洞寫出來。
2026 年 4 月 22 日
安全訓練 × AI Coding 論文閱讀分析:很多團隊真正該補的,不是再等更安全的模型,而是先把用模型的人教對
這篇研究最值得看的,不是它又說了一次 AI coding 有風險,而是它直接證明:在固定模型不變的情況下,只靠開發者安全訓練,就能明顯壓低 LLM-assisted backend development 的實際弱點負擔,尤其是 authorization、object access 與 authentication 類高風險問題。
2026 年 4 月 21 日