AI News HubLIVE
站内改写1 分钟阅读

AI代理在一次运行中修复了98%的漏洞依赖,下次修复了14%

一项研究表明,结合Bomly MCP服务器的AI代理在大型项目上能稳定修复98%以上的可修复漏洞,而仅靠代理自身则表现不一,甚至低至14%。该服务器通过提供依赖图、漏洞列表和修复上下文,有效解决了大型项目中依赖发现的瓶颈问题。

来源Hacker News AI作者: ahmed3lmallah

一项针对AI编程代理修复漏洞依赖的研究揭示了MCP(模型上下文协议)服务器的价值。研究团队使用Claude Code和Codex CLI两个领先代理,在一个拥有约300个依赖的13模块Maven项目上进行了测试。结果显示,当代理接入Bomly MCP服务器时,每次运行都能稳定修复98%以上的可修复漏洞;而没有服务器的情况下,Claude Code的完成率在14%到98%之间剧烈波动,Codex CLI虽然稳定在93-100%,但运行时间几乎翻倍。

研究发现,在大型项目中,发现漏洞依赖本身比修复更困难。Bomly MCP服务器提供了完整的依赖图、漏洞列表和修复上下文,帮助代理将精力集中在修复而非探索模块结构上。例如,Claude Code的一次14%运行虽然进行了87次工具调用,但大部分时间花在手动手动遍历模块树,最终仅修复了56个可修复漏洞中的8个。

在三个小型应用(包括Python、单模块Maven和npm项目)上,AI代理自身表现优异,完成率普遍在99-100%之间,服务器未带来额外提升。这表明MCP服务器的价值主要体现在依赖结构复杂、缺少本地审计命令的大型项目中。

此外,服务器还减少了虚假修复声明:Claude Code的虚报次数从5次运行中的4次降为2次,受影响包数从9个降至4个。对于Codex CLI,服务器虽未减少虚报,但将其平均运行时间从约13分钟缩短至7.5分钟。

研究团队强调这只是一项观察性研究,并非普适结论,但结果强烈表明,当依赖树规模庞大时,全图上下文对代理至关重要。所有实验数据、提示词和评分代码均已公开,便于复现。

该研究还意外发现了Bomly工具本身的四个bug,包括pip-audit干扰Python解释器检测、ANSI颜色码导致依赖不可见、MCP响应截断以及多模块Maven扫描失败等。这些问题已在研究过程中得到修复。对于FAQ部分,研究团队明确指出,Bomly MCP服务器在大型项目中显著提升修复效果和速度,但小型项目则不需要。