the provider 于 5 月 1 日面向所有 the assistant Enterprise 用户开放 the assistant Security 公测版，该工具基于最新 Opus 4.7 模型，可像人类安全研究员一样推理代码逻辑，自动发现传统工具遗漏的深层漏洞。

the assistant Security 公测上线：首个基于 Opus 4.7 的自动化安全审计模型正式发布

快讯 · 2026 年 5 月 1 日 — the provider 今日宣布，面向所有 the assistant Enterprise 用户正式开放 the assistant Security 公测版。这是业界首个基于 Opus 4.7 大型语言模型构建的自动化安全审计工具，旨在以"AI 安全研究员"的方式深度审查代码仓库，发现传统静态分析工具难以触及的复杂漏洞。

the assistant Security 产品主界面截图，展示 GitHub 仓库扫描启动流程及漏洞报告概览面板

一、产品背景：从 Opus 4.6 到 Opus 4.7，安全能力的质变

1.1 Opus 4.7 的核心能力跃升

2026 年初，the provider 正式发布了新一代旗舰模型 Opus 4.7。相较于前代 Opus 4.6，Opus 4.7 在以下几个关键维度实现了显著提升：

深度推理能力：模型能够在更长的上下文窗口中维持逻辑连贯性，对跨文件、跨模块的代码依赖关系进行准确追踪。
自我检核机制：内建多重安全机制，在反馈结果前自主设计验证步骤，大幅降低误判与幻觉输出。
任务执行一致性：能够严谨且一致地执行复杂任务，精确遵循操作指令。
安全降级设计：训练阶段专门降低了网络攻击能力，并配套自动识别高风险用途的防护机制，确保模型本身不会成为攻击工具。

正是基于 Opus 4.7 的这些特性，the provider 将其作为 the assistant Security 的底层引擎，让安全审计从"匹配规则"迈向"理解代码"。

1.2 行业痛点：传统工具的局限

长期以来，企业代码安全审计主要依赖两类手段：

方式	优势	局限
静态分析工具（SAST）	速度快、覆盖面广	基于规则匹配，误报率高，难以发现逻辑漏洞
人工渗透测试	深度强、上下文理解好	成本高、周期长、依赖专家经验
动态分析工具（DAST）	可发现运行时问题	覆盖率受限于测试用例，部署复杂

现实中，大量生产代码中的深层漏洞——尤其是涉及组件交互、数据流跨模块传递的逻辑缺陷——往往在经过多年专家审查后依然隐藏。the provider 此前公布的数据显示，前代 Opus 4.6 就已在生产级开源代码库中发现了超过 500 个此前未被检出的漏洞，其中部分漏洞已存在数十年之久。

the assistant Security 正是为了弥补这一鸿沟而生。

二、核心技术解析：像人类研究员一样"推理"代码

2.1 推理式代码审计

不同于传统 SAST 工具通过预定义规则（如正则表达式匹配 SQL 拼接模式）来标记潜在漏洞，the assistant Security 采用的是 推理式审计范式：

代码理解：模型首先对目标仓库进行整体语义解析，建立模块间的调用关系图与数据流图。
上下文推理：在理解组件交互的基础上，模型模拟攻击者视角，沿数据流路径追踪潜在的安全风险。
漏洞验证：对每一个可疑点，模型会自主构建验证逻辑，判断该路径是否真正可被利用。

这意味着 the assistant Security 不仅能发现诸如 SQL 注入、XSS 等常见漏洞，还能够识别以下传统工具难以覆盖的场景：

跨模块权限绕过：当认证逻辑分散在多个服务中时，模型能追踪完整的鉴权链路。
复杂的序列化 / 反序列化漏洞：理解对象在不同层级间的转换过程。
业务逻辑缺陷：如竞态条件、状态机异常转换等需要深度上下文理解的漏洞。

2.2 多阶段验证管道

the assistant Security 内置了一条 多阶段验证管道（Multi-Stage Verification Pipeline），其工作流程如下：

[代码扫描] → [候选漏洞生成] → [自我质疑/反向验证] → [可利用性评估] → [严重级别分级] → [报告输出]

关键环节说明：

自我质疑机制：模型在标记一个漏洞后，会主动尝试"推翻"自己的发现——寻找上游是否存在已有的校验逻辑、下游是否有兜底防护。只有经过反向验证仍然成立的发现，才会进入下一阶段。
可利用性评估：模型不仅判断漏洞是否存在，还评估其在真实攻击场景中的可利用程度，据此将漏洞分为 高（High）、中（Medium）、低（Low） 三个严重级别。
误报抑制：通过自我质疑与多阶段交叉验证，the assistant Security 的误报率相比传统 SAST 工具显著降低。

the assistant Security 多阶段验证管道流程示意图，从代码扫描到最终报告输出的完整链路

三、使用方式：零集成门槛，指向 GitHub 即可启动

3.1 开箱即用的设计哲学

the provider 在产品设计上做了极致的简化——企业无需构建自定义智能体或进行 API 集成，只需将 the assistant Security 指向目标 GitHub 仓库即可启动扫描。

这一设计大幅降低了安全审计的技术门槛，使得即便没有专职安全团队的中小型开发组织也能快速获得专业级的代码审查能力。

3.2 典型工作流

以下是一个典型的使用流程：

登录 the assistant Enterprise 控制台，进入 Security 模块。
连接 GitHub 仓库：选择目标仓库并授权访问。
配置扫描范围（可选）：对于大型单体仓库，可限定扫描特定目录以提升扫描成功率和效率。
启动扫描：一键启动，模型自动完成代码分析。
查看报告：漏洞按严重级别排列，每项发现均附有详细的推理路径和修复建议。
处置与追踪：确认或驳回漏洞，驳回时可附带原因形成审计追踪。
导出与集成：结果支持导出为 CSV 或 Markdown 格式，并通过 Webhook 实时推送至 Slack、Jira 等系统。

3.3 API 调用示例

对于希望将 the assistant Security 的能力集成到自有工作流中的开发者，也可以通过 the assistant API（兼容 OpenAI 格式）来调用 Opus 4.7 模型进行安全分析。以下是一个基于 OpenAI Hub 兼容接口的调用示例：

import openai

client = openai.OpenAI(
    api_key=\"YOUR_API_KEY\",
    base_url=\"https://aihubmix.com/v1\"  # OpenAI Hub 兼容端点
)

# 将待审计的代码片段作为用户消息发送
code_snippet = \"\"\"
def get_user(request):
    user_id = request.GET.get('id')
    query = f\"SELECT * FROM users WHERE id = {user_id}\"
    return db.execute(query)
\"\"\"

response = client.chat.completions.create(
    model=\"claude-opus-4-7-20250401\",
    messages=[
        {
            \"role\": \"system\",
            \"content\": (
                \"你是一位资深安全研究员，请对以下代码进行安全审计。\"
                \"按照 高/中/低 严重级别标注每个发现的漏洞，\"
                \"给出详细的推理过程和修复建议。\"
            )
        },
        {
            \"role\": \"user\",
            \"content\": f\"请审计以下代码：\
```python\
{code_snippet}\
```\"
        }
    ],
    temperature=0.2,
    max_tokens=4096
)

print(response.choices[0].message.content)

示例输出（模拟）：

## 安全审计报告

### 🔴 高严重性：SQL 注入漏洞

**位置：** `get_user()` 函数，第 3 行

**描述：** 用户输入 `user_id` 直接通过 f-string 拼接进 SQL 查询语句，
未经任何参数化处理或输入校验，攻击者可构造恶意 `id` 参数执行任意 SQL。

**攻击示例：**
`GET /user?id=1 OR 1=1; DROP TABLE users;--`

**修复建议：**
使用参数化查询代替字符串拼接：
```python
query = \"SELECT * FROM users WHERE id = %s\"
return db.execute(query, (user_id,))


> **注意**：上述 API 调用方式适用于单文件或代码片段级别的快速分析。如需对完整仓库进行系统性扫描，建议直接使用 the assistant Security 控制台的仓库扫描功能。

---

## 四、公测版新增功能详解

今日上线的公测版相较于此前的封闭测试版本，引入了多项面向企业实际工作流的实用功能：

### 4.1 周期性扫描调度

团队可以 **设定周期性扫描计划**，使安全审计与开发冲刺节点（Sprint Cadence）保持同步。例如：

- 每次 Sprint 结束前自动触发扫描
- 每周固定时间执行全量扫描
- 基于 Git 事件（如合并到主分支）触发增量扫描

这确保了安全审计不再是一次性活动，而是融入日常开发流程的持续实践。

### 4.2 目录级扫描范围控制

对于拥有大型单体仓库（Monorepo）的企业，全量扫描可能耗时较长且成功率受限。公测版支持 **限定扫描特定目录**，例如只扫描 `src/auth/` 和 `src/api/` 等高风险模块，从而：

- 提升扫描效率和成功率
- 让团队优先关注最关键的代码区域
- 降低单次扫描的资源消耗

### 4.3 审计追踪与驳回记录

在安全工作流中，并非所有发现都需要修复——某些发现可能是已知且已接受的风险，或者确实是误报。公测版支持：

- **驳回时附带原因说明**：团队成员可以标注驳回理由（如"已有上游校验"、"仅限内部网络"等）
- **完整的审计追踪**：所有确认、驳回、修复操作均可追溯，满足合规审计需求

### 4.4 灵活的导出与集成

| 功能 | 说明 |
|------|------|
| **CSV 导出** | 方便导入电子表格进行统计分析 |
| **Markdown 导出** | 适合直接嵌入技术文档或 Wiki |
| **Webhook 推送** | 实时将发现推送至 Slack 频道或 Jira 看板 |

这些集成能力使 the assistant Security 能够无缝融入企业现有的安全运营和项目管理体系。

---

## 五、实战成绩：封闭测试阶段的亮眼表现

### 5.1 数百家组织的验证

自 2026 年 2 月启动封闭测试以来，**数百家组织** 已参与了 the assistant Security 的早期试用。这些组织覆盖了金融、医疗、电商、SaaS 等多个行业，测试结果令人瞩目：

- 多家组织反馈，the assistant Security **成功发现了现有 SAST/DAST 工具遗漏的生产代码漏洞**
- 部分发现涉及已上线多年的核心业务模块
- 误报率显著低于传统静态分析工具

### 5.2 前代模型的历史战绩

值得一提的是，即便是前代 Opus 4.6 模型，其安全审计能力就已经相当惊人：

> **Opus 4.6 在生产级开源代码库中发现了超过 500 个漏洞，这些漏洞在经过专家多年审查后依然隐藏了数十年。**

而 Opus 4.7 在推理深度、上下文理解和自我验证能力上的全面提升，意味着 the assistant Security 的实际检出能力将远超前代。

---

## 六、生态合作：安全产业链的 AI 化提速

the assistant Security 的发布并非孤立事件，而是 the provider 更大安全生态战略（Project Glasswing）的重要一环。

### 6.1 安全厂商集成

全球知名终端安全厂商 **CrowdStrike** 正在将 Opus 4.7 模型嵌入其安全平台。这意味着：

- CrowdStrike 的威胁检测与响应产品将获得 AI 推理增强
- 客户可以在既有的安全运营中心（SOC）工作流中直接享受 Opus 4.7 的能力
- 端点安全与代码安全形成闭环防护

### 6.2 咨询公司部署

**埃森哲（Accenture）** 等全球顶级咨询公司正在协助企业客户部署集成了 the assistant 的安全方案。对于大型企业而言，这类咨询驱动的部署模式有助于：

- 将 AI 安全审计与企业现有的安全治理框架对齐
- 制定符合行业监管要求的 AI 安全策略
- 培训内部团队掌握 AI 辅助安全审计的最佳实践

### 6.3 Project Glasswing 全局视角

根据此前披露的信息，the provider 在 Opus 4.7 发布前几周就已向精选企业客户悄悄开放了 **the assistant Mythos Preview**，作为 Project Glasswing 网络安全计划的一部分。the assistant Security 公测版所收集的海量对抗数据、误报率及白帽用户反馈，将直接指导未来 Mythos 级模型的迭代优化。

这表明 the provider 正在构建一个 **"模型 → 产品 → 数据 → 更好的模型"** 的安全能力飞轮。

---

## 七、可用性与定价

| 项目 | 详情 |
|------|------|
| **当前可用用户** | 所有 the assistant Enterprise 用户 |
| **即将开放** | the assistant Team 和 Max 计划用户 |
| **支持的代码托管平台** | 目前仅支持 GitHub 仓库 |
| **定价** | Opus 4.7 定价维持与 Opus 4.6 一致 |
| **公测阶段** | 公测期间功能免费体验（具体以官方公告为准） |

> **提示**：目前 the assistant Security 仅支持 GitHub 仓库。如果你的代码托管在 GitLab、Bitbucket 等平台，可以关注后续更新。

---

## 八、对开发者和安全团队的意义

### 8.1 左移安全（Shift Left）的真正落地

"安全左移"的理念已经提倡多年，但在实践中，开发团队往往因为工具复杂、误报过多、集成成本高等原因而难以真正将安全融入开发流程。the assistant Security 的出现改变了这一局面：

- **零集成成本**：指向仓库即可使用
- **低误报率**：多阶段验证让开发者不再被噪音淹没
- **可操作的修复建议**：每个发现都附有上下文推理和具体修复方案

### 8.2 安全团队的效率倍增器

对于专职安全团队而言，the assistant Security 并非要取代人类安全研究员，而是充当一个 **"永不疲倦的初级安全分析师"**：

- 自动完成大量重复性代码审查工作
- 将人类专家的精力释放到更高级的威胁建模和架构审查上
- 提供标准化的漏洞报告格式，减少沟通成本

### 8.3 对 AI 安全范式的深远影响

the assistant Security 代表了一种新的安全范式转变——**从基于规则的被动防御，转向基于 AI 推理的主动发现**。随着模型能力的持续提升，我们有理由期待：

- AI 安全审计将成为 CI/CD 管道的标准环节
- 漏洞发现与修复之间的时间窗口将大幅缩短
- 代码安全的基线水平将整体提升

---

## 九、总结与展望

今日 the assistant Security 的公测上线，标志着 **AI 驱动的自动化安全审计正式从概念验证走向大规模生产应用**。凭借 Opus 4.7 强大的推理与自我验证能力，这款工具在封闭测试阶段已经证明了其发现深层漏洞的实力。

对于企业而言，当下正是尝试的最佳时机：

- 如果你是 **the assistant Enterprise 用户**，今天就可以登录控制台体验
- 如果你使用 **the assistant Team 或 Max 计划**，密切关注即将到来的权限开放
- 如果你是 **安全厂商或咨询公司**，可以探索与 the provider 的生态合作机会

代码安全的 AI 时代已经到来，而 the assistant Security 是这场变革的最新里程碑。

---

## 参考来源

1. [IT之家 - "AI 抓虫能手"：the assistant Security 公测上线，基于 Opus 4.7 发现漏洞](https://www.ithome.com/0/945/780.htm) — IT之家对 the assistant Security 公测上线的详细报道，涵盖产品功能、检测能力及生态合作信息。

the assistant Security 公测上线：AI 自动审计代码漏洞