AI 编程工具的普及,正在掀起一场代码爆发式增长的浪潮 —— 全球日均代码生成量从 40 亿行激增至 400 亿行,但伴随而来的是日均漏洞数同步攀升至 40 万个。传统依赖人工或静态扫描的安全审计手段,早已不堪重负,90% 的误报率让安全团队陷入 “无效复核” 的困境。
就在这场与漏洞的赛跑中,成立于 2024 年的初创企业 ZAST.AI 脱颖而出。近日,该公司宣布完成高瓴创投数百万美元 Pre-A 轮融资,久谦资本担任财务顾问。凭借首创的 Agentic AI 闭环验证技术,ZAST.AI 正引领安全审计行业的范式革命,用 AI 对抗 AI,为 Vibe Coding 时代筑牢安全底座。
一、行业痛点:AI 造代码,漏洞也 “量产”
随着 Copilot、Cursor 等 AI 编程工具成为开发者标配,“Vibe Coding”(氛围编码)已从概念走向主流。但 AI 生成代码并非完美 —— 复杂场景下很难 “一遍过”,模型往往将编码视为 “序列翻译”,容易忽略运行环境、逻辑关联等关键因素,导致漏洞暗藏其中。
传统安全审计面临双重危机:
-
效率瓶颈:每日 400 亿行新增代码,人工审计根本追不上漏洞产生的速度;
-
精度陷阱:基于 “模式匹配” 的静态工具误报率超 90%,安全团队大量时间耗费在复核无效报警上,真正的高危漏洞反而可能被遗漏。
高瓴创投项目负责人直言:“AI 原生应用爆发的今天,全球代码量正经历从量变到质变的飞跃,传统的静态安全防御已无法应对指数级增长的漏洞挑战。”
二、技术革新:“0 误报” 闭环验证,用 AI 攻防 AI
ZAST.AI 的核心突破,在于摒弃了传统静态扫描的局限,首创基于大模型动态编程的 “0 误报” 漏洞挖掘技术。其核心逻辑是让 AI Agent 模拟黑客攻防,通过 “生成候选 - 编写脚本 - 攻击验证” 的闭环流程,确保每一个标记的漏洞都真实可利用。
技术原理拆解
-
语义深度理解:不同于传统工具的 “字符串匹配”,ZAST 的 AI Agent 能读懂代码逻辑、组件依赖和运行场景,精准识别潜在漏洞;
-
自动生成 POC:针对疑似漏洞,Agent 会自主编写攻击脚本(Proof of Concept),模拟真实黑客攻击行为;
-
闭环验证判定:只有攻击脚本执行成功、确实能利用的漏洞,才会被最终判定为有效漏洞,从根源上实现 “0 误报”。
实测效果震撼
在某头部客户的落地测试中,ZAST.AI 仅用 10 小时,就完成了传统方式下需 8000 个专家工时的代码审计任务,成功发现 29 个 0-day 漏洞,将单位漏洞发现成本降低 98%。这种效率与精度的双重突破,彻底解决了企业安全审计的核心痛点。
三、商业化落地:战绩斐然,获行业权威认可
凭借技术代差优势,ZAST.AI 的商业化进程迅猛,已在全球移动出行服务商、国内头部 SaaS 厂商、运营商等关键场景落地,并达成深度合作。
成立不到两年,其行业战绩已相当亮眼:
-
2025 年下半年斩获 119 个 CVE 漏洞编号,成功挖掘 Apache Struts2(XXE)、Apache Commons(RCE)、Microsoft Azure SDK 等全球核心组件的高危漏洞;
-
成为全球知名漏洞数据库 VulDB 的重要贡献者,2025 年 7 月单月漏洞贡献量位居全球第一;
-
验证了对底层基础设施的深层审计与穿透能力,获得行业权威认可。
久谦资本 AI 应用项目负责人 Stella 评价:“AI Code Assessment 作为 AI 时代的新范式,正从‘语法纠错’跨越到‘逻辑理解’的新阶段,而 ZAST.AI 正是这一趋势的引领者。”
四、资本背书:高瓴押注 AGI 安全基建
高瓴创投此次出手,并非偶然。作为聚焦新技术领域的头部资本,其看中的是 ZAST.AI 在 AGI 时代安全基建领域的开拓性地位。
高瓴创投项目负责人表示:“ZAST 团队深耕网络安全领域多年,拥有从顶级互联网巨头到底层基础设施审计的全球化视野与实战经验。他们首创的基于 Agentic AI 的闭环验证技术在商业落地中展现出极高的效能增量。”
在 AI 原生应用爆发的当下,自动化、零误报的漏洞挖掘已成为企业数字化资产的刚需。高瓴坚信,ZAST.AI 将为全球开发者与企业构建更具韧性的安全底座。
五、团队护航:顶尖安全专家领航
ZAST.AI 的快速崛起,离不开核心团队的深厚积淀:
-
创始人杨总:曾任美团、小米首席安全官,还曾供职于微软、亚马逊等北美巨头核心安全团队,兼具全球化视野与实战经验;
-
CISO Chris:前亚马逊技术专家,新加坡知名 Web3 安全公司 Numen Cyber 创始人,覆盖传统互联网与新兴 Web3 安全领域。
顶尖的团队背景,让 ZAST.AI 既能深刻理解企业安全需求,又能快速推进技术创新,在短期内获得行业与资本的双重认可。
写在最后:AI 安全进入 “攻防对等” 时代
AI 编程的普及,让漏洞从 “人工产生” 走向 “AI 量产”,安全防御也必须同步升级为 “AI 对抗 AI”。ZAST.AI 的融资与技术突破,标志着安全审计正式从 “被动扫描” 进入 “主动攻防” 的新阶段。
随着代码自动生成时代全面到来,安全审计自动化不再是可选项,而是企业数字化转型的必然选择。在高瓴创投与久谦资本的支持下,ZAST.AI 正将技术优势转化为行业标准,有望成为 AGI 时代安全基础设施的核心一环。
这场用 AI 守护 AI 的革命,才刚刚开始。