15年老兵用1條命令把安全審計(jì)成本砍了90%

2.6MB的原始掃描報(bào)告，壓縮到6.3KB。這不是魔術(shù)，是Token Economy（令牌經(jīng)濟(jì)）的硬算計(jì)。一位在代碼安全領(lǐng)域摸爬滾打15年的工程師，最近把自家倉(cāng)庫(kù)的安全審計(jì)流程徹底重構(gòu)了一遍。他把四個(gè)開源掃描器的輸出暴力瘦身，再丟給最便宜的谷歌Gemini 3 Flash模型做初篩——整套流程跑完，賬單上的數(shù)字讓他自己都有點(diǎn)意外。

「80%的安全收益，20%的工作量。在AI時(shí)代，這20%可以濃縮成一條命令。」

這套被他命名為「Antigravity」的工作流，核心邏輯粗暴但有效：AI不需要知道哪些測(cè)試通過(guò)了，不需要看完整的抽象語(yǔ)法樹，它只需要知道——什么東西壞了、在哪壞的、為什么重要。

四把開源掃描刀，先砍再喂

Antigravity的底座是四款經(jīng)過(guò)驗(yàn)證的開源工具：Gitleaks掃密鑰泄露、Semgrep掃代碼模式漏洞、Checkov掃基礎(chǔ)設(shè)施即代碼（IaC）配置問(wèn)題、OSV掃依賴庫(kù)已知漏洞。每把刀都?jí)蜾h利，但直接把它們吐出來(lái)的原始JSON塞給大模型，等于往火堆里倒汽油——燒錢，還嗆人。

工程師用jq做了道預(yù)處理。Gitleaks的原始輸出19KB，壓縮后2.4KB；Semgrep從61KB壓到4.3KB；最夸張的是Checkov，2.6MB的龐然大物被碾成6.3KB。整體數(shù)據(jù)量砍掉90%以上。

具體命令長(zhǎng)這樣——Gitleaks只留規(guī)則ID、文件路徑、行號(hào)；Semgrep加上嚴(yán)重等級(jí)；Checkov和OSV同理，全部結(jié)構(gòu)化裁剪。沒(méi)有廢話字段，沒(méi)有通過(guò)項(xiàng)的噪音。

「手動(dòng) inspect 掃描結(jié)果太耗時(shí)間。直接把原始輸出丟給AI，又貴又亂。」

Gemini 3 Flash：便宜到可以當(dāng)草稿紙用

壓縮后的精簡(jiǎn)報(bào)告，第一站是谷歌Gemini 3 Flash——目前谷歌大模型家族里最便宜的檔位。工程師的原話是「more than enough to receive a high-quality base report」（生成高質(zhì)量基礎(chǔ)報(bào)告綽綽有余）。初篩完若有疑點(diǎn)，再上調(diào)到Gemini 3.1 Pro做深度復(fù)核。

這種分層策略把成本結(jié)構(gòu)徹底拆開：廉價(jià)模型處理海量結(jié)構(gòu)化數(shù)據(jù)，昂貴模型只做精準(zhǔn)打擊。整個(gè)倉(cāng)庫(kù)的安全掃描，幾分鐘內(nèi)出結(jié)果，上下文窗口（context window）不會(huì)被撐爆。

對(duì)比傳統(tǒng)做法——要么安全工程師肉眼過(guò)報(bào)告，要么直接把原始JSON丟給GPT-4o Claude 3.5 Sonnet——Antigravity的賬單大概是前者的幾十分之一。

一條命令背后的產(chǎn)品思維

這套流程的命名很有意思。「Antigravity」在英語(yǔ)語(yǔ)境里自帶「反直覺(jué)、反重力」的隱喻：別人覺(jué)得AI安全審計(jì)必須砸錢上頂配模型，他偏用廉價(jià)模型+數(shù)據(jù)預(yù)處理的方式，把成本壓到地板以下。

產(chǎn)品經(jīng)理出身的讀者會(huì)立刻認(rèn)出這種套路——先做減法，再做乘法。先砍掉90%的無(wú)效信息，再用AI的推理能力做精準(zhǔn)放大。這和當(dāng)年用CDN邊緣節(jié)點(diǎn)緩存靜態(tài)資源、只把動(dòng)態(tài)請(qǐng)求回源的邏輯，本質(zhì)上是同一套思維。

工程師在演示視頻里跑的是真實(shí)倉(cāng)庫(kù)，不是Demo。ls -lh的輸出顯示，原始報(bào)告和精簡(jiǎn)版的體積對(duì)比觸目驚心：Checkov 2.6MB vs 6.3KB，Gitleaks 19KB vs 2.4KB，Semgrep 61KB vs 4.3KB。這些數(shù)字不是估算，是wc -c級(jí)別的精確。

「By making the data 90% smaller, the AI stays focused on real problems.」

誰(shuí)該抄作業(yè)

這套方案對(duì)中小團(tuán)隊(duì)尤其友好。沒(méi)有商業(yè)安全平臺(tái)的訂閱費(fèi)，沒(méi)有自建掃描集群的運(yùn)維成本，四條jq命令+一個(gè)谷歌API Key就能跑起來(lái)。對(duì)于已經(jīng)在用GitHub Actions或GitLab CI的團(tuán)隊(duì)，集成進(jìn)現(xiàn)有流水線幾乎零摩擦。

但別誤會(huì)，這不是「AI替代安全工程師」的敘事。Antigravity的定位是初篩漏斗，把人工審查的火力集中到真正可疑的代碼片段上。最終決策權(quán)仍在人手里——只是人不用再?gòu)?.6MB的JSON海洋里撈針了。

工程師沒(méi)有透露具體省了多少美元，但從Gemini 3 Flash的定價(jià)反推：輸入0.075美元/百萬(wàn)token，輸出0.3美元/百萬(wàn)token。一個(gè)被壓縮到10KB級(jí)別的報(bào)告，token數(shù)大概在幾千的量級(jí)。單次掃描的AI成本，可能低過(guò)一杯瑞幸。

如果這套工作流開源，你會(huì)把哪一步最先塞進(jìn)自己的CI流水線——是四合一的掃描器編排，還是那條暴力壓縮的jq管道？