[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article-cloudflare-ai-code-review-prompt-injection-zh":3,"tags-cloudflare-ai-code-review-prompt-injection-zh":32,"related-lang-cloudflare-ai-code-review-prompt-injection-zh":42,"related-posts-cloudflare-ai-code-review-prompt-injection-zh":46,"series-research-11436f62-9a94-43ce-82ed-2f1fec5d79ee":83},{"id":4,"title":5,"content":6,"summary":7,"source":8,"source_url":9,"author":10,"image_url":11,"keywords":12,"language":20,"translated_content":10,"views":21,"is_premium":22,"created_at":23,"updated_at":23,"cover_image":11,"published_at":24,"rewrite_status":25,"rewrite_error":10,"rewritten_from_id":26,"slug":27,"category":28,"related_article_id":29,"status":30,"google_indexed_at":31,"x_posted_at":10,"tweet_text":10,"title_rewritten_at":10,"title_original":10,"key_takeaways":10,"topic_cluster_id":10,"embedding":10,"is_canonical_seed":22},"11436f62-9a94-43ce-82ed-2f1fec5d79ee","Cloudflare 揭露 AI 程式碼審查可被騙","\u003Cp data-speakable=\"summary\">\u003Ca href=\"\u002Fnews\u002Fcloudflare-ai-code-review-at-scale-zh\">Clou\u003C\u002Fa>dflare 發現，AI 程式碼審查會被隱藏註解誤導，大片檔案時偵測率還會掉到 12%。\u003C\u002Fp>\u003Cp>說真的，這結果有點刺眼。\u003Ca href=\"https:\u002F\u002Fwww.cloudflare.com\u002F\" target=\"_blank\" rel=\"noopener\">Cloudflare\u003C\u002Fa> 這次測了 7 個模型，總共跑了 18,400 次 \u003Ca href=\"\u002Ftag\u002Fapi\">API\u003C\u002Fa> 呼叫。\u003Ca href=\"https:\u002F\u002Fwww.cloudflare.com\u002Fpress\u002F\" target=\"_blank\" rel=\"noopener\">Cloudforce One\u003C\u002Fa> 的研究顯示，AI 不是看不懂程式碼，而是太容易被註解帶風向。\u003C\u002Fp>\u003Cp>更麻煩的是，這不是傳統 jailbreak。攻擊者不用拆模型，也不用塞一堆亂碼。只要把話藏進原始碼註解，AI 就可能把危險程式碼判成安全。\u003C\u002Fp>\u003Ctable>\u003Cthead>\u003Ctr>\u003Cth>指標\u003C\u002Fth>\u003Cth>結果\u003C\u002Fth>\u003C\u002Ftr>\u003C\u002Fthead>\u003Ctbody>\u003Ctr>\u003Ctd>測試模型數\u003C\u002Ftd>\u003Ctd>7\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>API 呼叫次數\u003C\u002Ftd>\u003Ctd>18,400\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>惡意或濫用 Workers 腳本\u003C\u002Ftd>\u003Ctd>100\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>基準偵測率\u003C\u002Ftd>\u003Ctd>67.3%\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>繞過區偵測率\u003C\u002Ftd>\u003Ctd>53.3%\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>註解比例超過 25%\u003C\u002Ftd>\u003Ctd>97.9%\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>註解比例超過 50%\u003C\u002Ftd>\u003Ctd>98.9%\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>檔案大於 3MB\u003C\u002Ftd>\u003Ctd>12% 到 18%\u003C\u002Ftd>\u003C\u002Ftr>\u003C\u002Ftbody>\u003C\u002Ftable>\u003Ch2>Cloudflare 測了什麼\u003C\u002Fh2>\u003Cp>這份研究鎖定 \u003Ca href=\"https:\u002F\u002Fworkers.cloudflare.com\u002F\" target=\"_blank\" rel=\"noopener\">Cloudflare Workers\u003C\u002Fa> 腳本。團隊拿 100 份惡意或濫用腳本來測，看看 AI 會不會被內嵌註解帶歪。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1777873854563-nb4y.png\" alt=\"Cloudflare 揭露 AI 程式碼審查可被騙\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>重點在於，攻擊者不需要真的破解模型。只要在註解裡塞暗示，例如說這段程式很正常、很安全、很合法，AI 就可能偏向放行。\u003C\u002Fp>\u003Cp>這種攻擊很像在跟審查員聊天。問題是，審查員是 \u003Ca href=\"\u002Ftag\u002Fllm\">LLM\u003C\u002Fa>，不是人。它會把自然語言和程式邏輯混在一起看，這就給了攻擊者可乘之機。\u003C\u002Fp>\u003Cul>\u003Cli>測試涵蓋 7 個模型。\u003C\u002Fli>\u003Cli>總共做了 18,400 次 API 呼叫。\u003C\u002Fli>\u003Cli>低註解量時，偵測率掉到 53.3%。\u003C\u002Fli>\u003Cli>3MB 以上的大檔，偵測率只剩 12% 到 18%。\u003C\u002Fli>\u003C\u002Ful>\u003Ch2>為什麼繞過區很要命\u003C\u002Fh2>\u003Cp>\u003Ca href=\"\u002Ftag\u002Fcloudflare\">Cloudflare\u003C\u002Fa> 把註解比例低於 1% 的情況，稱作繞過區。這裡最危險。因為看起來很正常，模型反而比較容易吞下去。\u003C\u002Fp>\u003Cp>在這個區間，平均偵測率從 67.3% 掉到 53.3%。對安全流程來說，這不是小波動。這代表每 100 次判斷，可能多放掉 14 次。\u003C\u002Fp>\u003Cp>有趣的是，註解不是越多越好。當註解超過檔案的 25%，偵測率反而升到 97.9%。超過 50% 時，更到 98.9%。模型開始覺得太吵，直接提高警戒。\u003C\u002Fp>\u003Cblockquote>“The fact that detection accuracy plummets to 12% when payloads are buried in large library bundles suggests that adversaries no longer need to convince the AI that their code is safe-they only need to make the malicious signal too small for the AI to find.”\u003C\u002Fblockquote>\u003Cp>這句話很直白。攻擊者不用說服 AI，相反地，只要把惡意訊號藏到它找不到就好。\u003C\u002Fp>\u003Cp>這也解釋了為什麼很多 AI 安全流程會翻車。模型不是每次都被騙，但只要漏掉幾次，就足夠讓風險進 production。\u003C\u002Fp>\u003Ch2>檔案大小比措辭更兇\u003C\u002Fh2>\u003Cp>這次研究最狠的變數，不是註解內容，而是檔案大小。500KB 以下的 Workers，偵測率幾乎維持在 100%。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1777873849729-n25w.png\" alt=\"Cloudflare 揭露 AI 程式碼審查可被騙\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>但一旦檔案大於 3MB，偵測率就掉到 12% 到 18%。就算惡意邏輯還在 context window 裡，模型也很難把重點抓出來。\u003C\u002Fp>\u003Cp>Cloudflare 提到，這種情況常出現在大型 bundle。像 \u003Ca href=\"https:\u002F\u002Freact.dev\u002F\" target=\"_blank\" rel=\"noopener\">React\u003C\u002Fa> SDK，或 \u003Ca href=\"https:\u002F\u002Fton.org\u002F\" target=\"_blank\" rel=\"noopener\">TON\u003C\u002Fa> 元件，都可能把真正的風險包在一堆合法程式碼裡。\u003C\u002Fp>\u003Cul>\u003Cli>500KB 以下，偵測率接近 100%。\u003C\u002Fli>\u003Cli>3MB 以上，偵測率只剩 12% 到 18%。\u003C\u002Fli>\u003Cli>有些 frontier model 會直接輸出亂掉的結果。\u003C\u002Fli>\u003Cli>一個非 frontier model 在 1,000 個註解時達到 91% 偵測率。\u003C\u002Fli>\u003C\u002Ful>\u003Cp>講白了，這不是單純的文字陷阱，而是結構問題。你把整包大檔丟給 AI，它就很容易看漏。\u003C\u002Fp>\u003Cp>這也提醒開發團隊，AI 審查不能只看「有沒有讀到檔案」。真正該問的是，它有沒有抓到最危險的那一段。\u003C\u002Fp>\u003Ch2>不同模型，反應差很多\u003C\u002Fh2>\u003Cp>Cloudflare 的測試顯示，模型差異很大。有一個非 frontier model，在只加 20 個註解後，偵測率就從 90% 掉到 67%。\u003C\u002Fp>\u003Cp>另一個模型在中等和極端註解量下，幾乎沒什麼變化。還有一個模型，反而因為重複內容變多而更警覺，最後在 1,000 個註解時達到 91% 偵測率。\u003C\u002Fp>\u003Cp>這代表不能只看「是不是 GPT」或「是不是大模型」。同樣是 LLM，對 prompt injection 的耐受度差很多。拿便宜、快的模型做自動初審，風險真的不小。\u003C\u002Fp>\u003Cul>\u003Cli>有些模型在 20 個註解後就明顯退化。\u003C\u002Fli>\u003Cli>有些模型對重複內容比較敏感。\u003C\u002Fli>\u003Cli>frontier model 較穩，但不是無敵。\u003C\u002Fli>\u003Cli>低成本模型可能放大攻擊面。\u003C\u002Fli>\u003C\u002Ful>\u003Cp>我覺得這裡最現實的問題是成本。很多團隊想省錢，就把 AI 審查當第一道門。\u003C\u002Fp>\u003Cp>但如果第一道門本身會被註解騙過，那省下來的錢，最後可能變成資安事故的成本。\u003C\u002Fp>\u003Ch2>語言偏誤也會出事\u003C\u002Fh2>\u003Cp>Cloudflare 還看到另一個麻煩：語言偏誤。某些模型看到俄文、中文或阿拉伯文註解時，會把風險分數拉高。\u003C\u002Fp>\u003Cp>相反地，有些模型對愛沙尼亞文註解比較信任。這表示模型可能學到語言捷徑，而不是看懂程式本身。\u003C\u002Fp>\u003Cp>這很危險。因為攻擊者可以測哪種語言最容易過關，再把註解改成那種語言。這不是語言學問題，是安全問題。\u003C\u002Fp>\u003Cp>Cloudflare 也提到，他們在 \u003Ca href=\"https:\u002F\u002Fwww.cloudflare.com\u002Fpress\u002F\" target=\"_blank\" rel=\"noopener\">Cloudforce One\u003C\u002Fa> 監控 \u003Ca href=\"https:\u002F\u002Fworkers.cloudflare.com\u002F\" target=\"_blank\" rel=\"noopener\">Workers\u003C\u002Fa> 濫用時，看到不少 VPN 和 proxy tunnelling 腳本，還用了 VLESS 協定。\u003C\u002Fp>\u003Cp>團隊把註解插在 statement 邊界，不是只塞在檔案開頭。這點很重要，因為它更接近真實攻擊手法。攻擊者不會只做最簡單版本。\u003C\u002Fp>\u003Ch2>跟其他 AI 安全問題比，這次哪裡特別\u003C\u002Fh2>\u003Cp>很多人談 prompt injection，只想到聊天機器人。可是在 \u003Ca href=\"\u002Fnews\u002Fgithub-copilot-code-review-actions-minutes-zh\">code\u003C\u002Fa> review 場景，風險更直接。因為結果不是「答錯一句話」，而是「把惡意程式放進去」。\u003C\u002Fp>\u003Cp>這和一般 static \u003Ca href=\"\u002Fnews\u002Fwhy-solanas-real-story-is-institutional-utility-not-price-zh\">ana\u003C\u002Fa>lysis 也不同。傳統工具看的是語法、規則、行為特徵。AI 則會讀自然語言註解，這讓攻擊面變大。\u003C\u002Fp>\u003Cp>如果拿這次結果跟其他工具比，差異很明顯。規則式掃描器不太會被註解騙。AI 審查器則可能因為上下文太長、註解太多，直接失焦。\u003C\u002Fp>\u003Cul>\u003Cli>傳統掃描器較少吃自然語言陷阱。\u003C\u002Fli>\u003Cli>AI 審查器會讀註解，也會被註解影響。\u003C\u002Fli>\u003Cli>大檔案對 AI 的傷害特別大。\u003C\u002Fli>\u003Cli>多模型串接，會比單一模型更穩。\u003C\u002Fli>\u003C\u002Ful>\u003Cp>所以問題不是要不要用 AI。問題是，你把它放在哪一層。\u003C\u002Fp>\u003Cp>把 AI 當唯一裁判，風險太高。把它當輔助訊號，才比較合理。\u003C\u002Fp>\u003Ch2>接下來該怎麼做\u003C\u002Fh2>\u003Cp>最實際的做法很簡單。先把註解和功能碼分開看。再把大檔拆小，不要一次丟整包 bundle 給模型。\u003C\u002Fp>\u003Cp>還要縮小 prompt 範圍。不要問「這段安不安全」。改問「這段有沒有符合某種惡意模式」。問題越窄，模型越不容易被帶偏。\u003C\u002Fp>\u003Cp>另外，AI 審查不要單獨上線。最好搭配 static analysis、sandbox、人工複核。尤其是超過 3MB 的檔案，真的別只靠一個模型拍板。\u003C\u002Fp>\u003Cp>我覺得這篇研究最有價值的地方，不是告訴你 AI 很爛。它是在提醒大家，AI 審查要先學會忽略雜訊。否則，攻擊者只要在註解裡多講幾句話，就可能把結果改掉。\u003C\u002Fp>\u003Cp>如果你的團隊已經在用 AI 做 code review，下一步不是換更大的模型。先檢查流程有沒有把大檔、註解和風險訊號拆開。這比追新模型實際多了。\u003C\u002Fp>","Cloudflare 測試 7 個 AI 模型後發現，隱藏註解可讓程式碼審查誤判，大片檔案的偵測率甚至掉到 12%。","securitybrief.com.au","https:\u002F\u002Fsecuritybrief.com.au\u002Fstory\u002Fcloudflare-warns-of-ai-code-review-prompt-injection",null,"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1777873854563-nb4y.png",[13,14,15,16,17,18,19],"Cloudflare","AI code review","prompt injection","資安","LLM","Cloudflare Workers","程式碼審查","zh",0,false,"2026-05-04T05:50:32.359808+00:00","2026-05-04T05:50:32.246+00:00","done","13ae7ac1-1e13-4c27-952a-e1126a15994c","cloudflare-ai-code-review-prompt-injection-zh","research","3f227e2a-caf6-4c97-9914-a0b2674907e6","published","2026-05-04T09:00:13.73+00:00",[33,35,37,38,40],{"name":13,"slug":34},"cloudflare",{"name":17,"slug":36},"llm",{"name":16,"slug":16},{"name":14,"slug":39},"ai-code-review",{"name":15,"slug":41},"prompt-injection",{"id":29,"slug":43,"title":44,"language":45},"cloudflare-ai-code-review-prompt-injection-en","Cloudflare finds AI code review can be fooled","en",[47,53,59,65,71,77],{"id":48,"slug":49,"title":50,"cover_image":51,"image_url":51,"created_at":52,"category":28},"667b72b6-e821-4d68-80a1-e03340bc85f1","turboquant-seo-shift-small-sites-zh","TurboQuant 與小站 SEO 變化","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778840440690-kcw9.png","2026-05-15T10:20:27.319472+00:00",{"id":54,"slug":55,"title":56,"cover_image":57,"image_url":57,"created_at":58,"category":28},"381fb6c6-6da7-4444-831f-8c5eed8d685c","turboquant-vllm-comparison-fp8-kv-cache-zh","TurboQuant 與 FP8 實測結果","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778839867551-4v9g.png","2026-05-15T10:10:36.034569+00:00",{"id":60,"slug":61,"title":62,"cover_image":63,"image_url":63,"created_at":64,"category":28},"c15f45ee-a548-4dbf-8152-91de159c1a11","llmbda-calculus-agent-safety-rules-zh","LLMbda 演算替 AI 代理人立安全規則","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778825503412-mlbf.png","2026-05-15T06:10:34.832664+00:00",{"id":66,"slug":67,"title":68,"cover_image":69,"image_url":69,"created_at":70,"category":28},"0c02225c-d6ff-44f8-bc92-884c8921c4a3","low-complexity-beamspace-denoiser-mmwave-mimo-zh","更簡單的毫米波波束域去噪器","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778814650361-xtc2.png","2026-05-15T03:10:30.06639+00:00",{"id":72,"slug":73,"title":74,"cover_image":75,"image_url":75,"created_at":76,"category":28},"9d27f967-62cc-433f-8cdb-9300937ade13","ai-benchmark-wins-cyber-scare-defenders-zh","為什麼 AI 基準賽在資安領域的勝利，應該讓防守方警醒","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778807450006-nofx.png","2026-05-15T01:10:29.379041+00:00",{"id":78,"slug":79,"title":80,"cover_image":81,"image_url":81,"created_at":82,"category":28},"bc402dc6-5da6-46fc-9d66-d09cb215f72b","why-linux-security-needs-patch-wave-mindset-zh","為什麼 Linux 安全需要「補丁浪潮」思維","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778741449813-s2wn.png","2026-05-14T06:50:24.052583+00:00",[84,89,94,99,104,109,114,119,124,129],{"id":85,"slug":86,"title":87,"created_at":88},"f18dbadb-8c59-4723-84a4-6ad22746c77a","deepmind-bets-on-continuous-learning-ai-2026-zh","DeepMind 押注 2026 連續學習 AI","2026-03-26T08:16:02.367355+00:00",{"id":90,"slug":91,"title":92,"created_at":93},"f4a106cb-02a6-4508-8f39-9720a0a93cee","ml-papers-of-the-week-github-research-desk-zh","每週 ML 論文清單，為何紅到 GitHub","2026-03-27T01:11:39.284175+00:00",{"id":95,"slug":96,"title":97,"created_at":98},"c4f807ca-4e5f-47f1-a48c-961cf3fc44dc","ai-ml-conferences-to-watch-in-2026-zh","2026 AI 研討會投稿時程整理","2026-03-27T01:51:53.874432+00:00",{"id":100,"slug":101,"title":102,"created_at":103},"9f50561b-aebd-46ba-94a8-363198aa7091","openclaw-agents-manipulated-self-sabotage-zh","OpenClaw Agent 會自己搞砸自己","2026-03-28T03:03:18.786425+00:00",{"id":105,"slug":106,"title":107,"created_at":108},"11f22e92-7066-4978-a544-31f5f2156ec6","vega-learning-to-drive-with-natural-language-instructions-zh","Vega：使用自然語言指示進行自駕車控制","2026-03-28T14:54:04.847912+00:00",{"id":110,"slug":111,"title":112,"created_at":113},"a4c7cfec-8d0e-4fec-93cf-1b9699a530b8","drive-my-way-en-zh","Drive My Way：個性化自駕車風格的實現","2026-03-28T14:54:26.207495+00:00",{"id":115,"slug":116,"title":117,"created_at":118},"dec02f89-fd39-41ba-8e4d-11ede93a536d","training-knowledge-bases-with-writeback-rag-zh","用 WriteBack-RAG 強化知識庫提升檢索效能","2026-03-28T14:54:45.775606+00:00",{"id":120,"slug":121,"title":122,"created_at":123},"3886be5c-a137-40cc-b9e2-0bf18430c002","packforcing-efficient-long-video-generation-method-zh","PackForcing：短影片訓練也能生成長影片","2026-03-28T14:55:02.688141+00:00",{"id":125,"slug":126,"title":127,"created_at":128},"72b90667-d930-4cc9-8ced-aaa0f8968d44","pixelsmile-toward-fine-grained-facial-expression-editing-zh","PixelSmile：提升精細臉部表情編輯的新方法","2026-03-28T14:55:20.678181+00:00",{"id":130,"slug":131,"title":132,"created_at":133},"cf046742-efb2-4753-aef9-caed5da5e32e","adaptive-block-scaled-data-types-zh","IF4：神經網路量化的聰明選擇","2026-03-31T06:00:36.990273+00:00"]