[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article-cloudflare-ai-code-review-prompt-injection-zh":3,"article-related-cloudflare-ai-code-review-prompt-injection-zh":27,"series-research-11436f62-9a94-43ce-82ed-2f1fec5d79ee":79},{"id":4,"slug":5,"title":6,"content":7,"summary":8,"source":9,"source_url":10,"author":11,"image_url":12,"cover_image":12,"category":13,"language":14,"translated_content":11,"related_article_id":15,"keywords":16,"key_takeaways":11,"views":24,"created_at":25,"published_at":26,"topic_cluster_id":11},"11436f62-9a94-43ce-82ed-2f1fec5d79ee","cloudflare-ai-code-review-prompt-injection-zh","Cloudflare 揭露 AI 程式碼審查可被騙","\u003Cp data-speakable=\"summary\">\u003Ca href=\"\u002Fnews\u002Fcloudflare-ai-code-review-at-scale-zh\">Clou\u003C\u002Fa>dflare 發現，AI 程式碼審查會被隱藏註解誤導，大片檔案時偵測率還會掉到 12%。\u003C\u002Fp>\u003Cp>說真的，這結果有點刺眼。\u003Ca href=\"https:\u002F\u002Fwww.cloudflare.com\u002F\" target=\"_blank\" rel=\"noopener\">Cloudflare\u003C\u002Fa> 這次測了 7 個模型，總共跑了 18,400 次 \u003Ca href=\"\u002Ftag\u002Fapi\">API\u003C\u002Fa> 呼叫。\u003Ca href=\"https:\u002F\u002Fwww.cloudflare.com\u002Fpress\u002F\" target=\"_blank\" rel=\"noopener\">Cloudforce One\u003C\u002Fa> 的研究顯示，AI 不是看不懂程式碼，而是太容易被註解帶風向。\u003C\u002Fp>\u003Cp>更麻煩的是，這不是傳統 jailbreak。攻擊者不用拆模型，也不用塞一堆亂碼。只要把話藏進原始碼註解，AI 就可能把危險程式碼判成安全。\u003C\u002Fp>\u003Ctable>\u003Cthead>\u003Ctr>\u003Cth>指標\u003C\u002Fth>\u003Cth>結果\u003C\u002Fth>\u003C\u002Ftr>\u003C\u002Fthead>\u003Ctbody>\u003Ctr>\u003Ctd>測試模型數\u003C\u002Ftd>\u003Ctd>7\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>API 呼叫次數\u003C\u002Ftd>\u003Ctd>18,400\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>惡意或濫用 Workers 腳本\u003C\u002Ftd>\u003Ctd>100\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>基準偵測率\u003C\u002Ftd>\u003Ctd>67.3%\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>繞過區偵測率\u003C\u002Ftd>\u003Ctd>53.3%\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>註解比例超過 25%\u003C\u002Ftd>\u003Ctd>97.9%\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>註解比例超過 50%\u003C\u002Ftd>\u003Ctd>98.9%\u003C\u002Ftd>\u003C\u002Ftr>\u003Ctr>\u003Ctd>檔案大於 3MB\u003C\u002Ftd>\u003Ctd>12% 到 18%\u003C\u002Ftd>\u003C\u002Ftr>\u003C\u002Ftbody>\u003C\u002Ftable>\u003Ch2>Cloudflare 測了什麼\u003C\u002Fh2>\u003Cp>這份研究鎖定 \u003Ca href=\"https:\u002F\u002Fworkers.cloudflare.com\u002F\" target=\"_blank\" rel=\"noopener\">Cloudflare Workers\u003C\u002Fa> 腳本。團隊拿 100 份惡意或濫用腳本來測，看看 AI 會不會被內嵌註解帶歪。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1777873854563-nb4y.png\" alt=\"Cloudflare 揭露 AI 程式碼審查可被騙\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>重點在於，攻擊者不需要真的破解模型。只要在註解裡塞暗示，例如說這段程式很正常、很安全、很合法，AI 就可能偏向放行。\u003C\u002Fp>\u003Cp>這種攻擊很像在跟審查員聊天。問題是，審查員是 \u003Ca href=\"\u002Ftag\u002Fllm\">LLM\u003C\u002Fa>，不是人。它會把自然語言和程式邏輯混在一起看，這就給了攻擊者可乘之機。\u003C\u002Fp>\u003Cul>\u003Cli>測試涵蓋 7 個模型。\u003C\u002Fli>\u003Cli>總共做了 18,400 次 API 呼叫。\u003C\u002Fli>\u003Cli>低註解量時，偵測率掉到 53.3%。\u003C\u002Fli>\u003Cli>3MB 以上的大檔，偵測率只剩 12% 到 18%。\u003C\u002Fli>\u003C\u002Ful>\u003Ch2>為什麼繞過區很要命\u003C\u002Fh2>\u003Cp>\u003Ca href=\"\u002Ftag\u002Fcloudflare\">Cloudflare\u003C\u002Fa> 把註解比例低於 1% 的情況，稱作繞過區。這裡最危險。因為看起來很正常，模型反而比較容易吞下去。\u003C\u002Fp>\u003Cp>在這個區間，平均偵測率從 67.3% 掉到 53.3%。對安全流程來說，這不是小波動。這代表每 100 次判斷，可能多放掉 14 次。\u003C\u002Fp>\u003Cp>有趣的是，註解不是越多越好。當註解超過檔案的 25%，偵測率反而升到 97.9%。超過 50% 時，更到 98.9%。模型開始覺得太吵，直接提高警戒。\u003C\u002Fp>\u003Cblockquote>“The fact that detection accuracy plummets to 12% when payloads are buried in large library bundles suggests that adversaries no longer need to convince the AI that their code is safe-they only need to make the malicious signal too small for the AI to find.”\u003C\u002Fblockquote>\u003Cp>這句話很直白。攻擊者不用說服 AI，相反地，只要把惡意訊號藏到它找不到就好。\u003C\u002Fp>\u003Cp>這也解釋了為什麼很多 AI 安全流程會翻車。模型不是每次都被騙，但只要漏掉幾次，就足夠讓風險進 production。\u003C\u002Fp>\u003Ch2>檔案大小比措辭更兇\u003C\u002Fh2>\u003Cp>這次研究最狠的變數，不是註解內容，而是檔案大小。500KB 以下的 Workers，偵測率幾乎維持在 100%。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1777873849729-n25w.png\" alt=\"Cloudflare 揭露 AI 程式碼審查可被騙\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>但一旦檔案大於 3MB，偵測率就掉到 12% 到 18%。就算惡意邏輯還在 context window 裡，模型也很難把重點抓出來。\u003C\u002Fp>\u003Cp>Cloudflare 提到，這種情況常出現在大型 bundle。像 \u003Ca href=\"https:\u002F\u002Freact.dev\u002F\" target=\"_blank\" rel=\"noopener\">React\u003C\u002Fa> SDK，或 \u003Ca href=\"https:\u002F\u002Fton.org\u002F\" target=\"_blank\" rel=\"noopener\">TON\u003C\u002Fa> 元件，都可能把真正的風險包在一堆合法程式碼裡。\u003C\u002Fp>\u003Cul>\u003Cli>500KB 以下，偵測率接近 100%。\u003C\u002Fli>\u003Cli>3MB 以上，偵測率只剩 12% 到 18%。\u003C\u002Fli>\u003Cli>有些 frontier model 會直接輸出亂掉的結果。\u003C\u002Fli>\u003Cli>一個非 frontier model 在 1,000 個註解時達到 91% 偵測率。\u003C\u002Fli>\u003C\u002Ful>\u003Cp>講白了，這不是單純的文字陷阱，而是結構問題。你把整包大檔丟給 AI，它就很容易看漏。\u003C\u002Fp>\u003Cp>這也提醒開發團隊，AI 審查不能只看「有沒有讀到檔案」。真正該問的是，它有沒有抓到最危險的那一段。\u003C\u002Fp>\u003Ch2>不同模型，反應差很多\u003C\u002Fh2>\u003Cp>Cloudflare 的測試顯示，模型差異很大。有一個非 frontier model，在只加 20 個註解後，偵測率就從 90% 掉到 67%。\u003C\u002Fp>\u003Cp>另一個模型在中等和極端註解量下，幾乎沒什麼變化。還有一個模型，反而因為重複內容變多而更警覺，最後在 1,000 個註解時達到 91% 偵測率。\u003C\u002Fp>\u003Cp>這代表不能只看「是不是 GPT」或「是不是大模型」。同樣是 LLM，對 prompt injection 的耐受度差很多。拿便宜、快的模型做自動初審，風險真的不小。\u003C\u002Fp>\u003Cul>\u003Cli>有些模型在 20 個註解後就明顯退化。\u003C\u002Fli>\u003Cli>有些模型對重複內容比較敏感。\u003C\u002Fli>\u003Cli>frontier model 較穩，但不是無敵。\u003C\u002Fli>\u003Cli>低成本模型可能放大攻擊面。\u003C\u002Fli>\u003C\u002Ful>\u003Cp>我覺得這裡最現實的問題是成本。很多團隊想省錢，就把 AI 審查當第一道門。\u003C\u002Fp>\u003Cp>但如果第一道門本身會被註解騙過，那省下來的錢，最後可能變成資安事故的成本。\u003C\u002Fp>\u003Ch2>語言偏誤也會出事\u003C\u002Fh2>\u003Cp>Cloudflare 還看到另一個麻煩：語言偏誤。某些模型看到俄文、中文或阿拉伯文註解時，會把風險分數拉高。\u003C\u002Fp>\u003Cp>相反地，有些模型對愛沙尼亞文註解比較信任。這表示模型可能學到語言捷徑，而不是看懂程式本身。\u003C\u002Fp>\u003Cp>這很危險。因為攻擊者可以測哪種語言最容易過關，再把註解改成那種語言。這不是語言學問題，是安全問題。\u003C\u002Fp>\u003Cp>Cloudflare 也提到，他們在 \u003Ca href=\"https:\u002F\u002Fwww.cloudflare.com\u002Fpress\u002F\" target=\"_blank\" rel=\"noopener\">Cloudforce One\u003C\u002Fa> 監控 \u003Ca href=\"https:\u002F\u002Fworkers.cloudflare.com\u002F\" target=\"_blank\" rel=\"noopener\">Workers\u003C\u002Fa> 濫用時，看到不少 VPN 和 proxy tunnelling 腳本，還用了 VLESS 協定。\u003C\u002Fp>\u003Cp>團隊把註解插在 statement 邊界，不是只塞在檔案開頭。這點很重要，因為它更接近真實攻擊手法。攻擊者不會只做最簡單版本。\u003C\u002Fp>\u003Ch2>跟其他 AI 安全問題比，這次哪裡特別\u003C\u002Fh2>\u003Cp>很多人談 prompt injection，只想到聊天機器人。可是在 \u003Ca href=\"\u002Fnews\u002Fgithub-copilot-code-review-actions-minutes-zh\">code\u003C\u002Fa> review 場景，風險更直接。因為結果不是「答錯一句話」，而是「把惡意程式放進去」。\u003C\u002Fp>\u003Cp>這和一般 static \u003Ca href=\"\u002Fnews\u002Fwhy-solanas-real-story-is-institutional-utility-not-price-zh\">ana\u003C\u002Fa>lysis 也不同。傳統工具看的是語法、規則、行為特徵。AI 則會讀自然語言註解，這讓攻擊面變大。\u003C\u002Fp>\u003Cp>如果拿這次結果跟其他工具比，差異很明顯。規則式掃描器不太會被註解騙。AI 審查器則可能因為上下文太長、註解太多，直接失焦。\u003C\u002Fp>\u003Cul>\u003Cli>傳統掃描器較少吃自然語言陷阱。\u003C\u002Fli>\u003Cli>AI 審查器會讀註解，也會被註解影響。\u003C\u002Fli>\u003Cli>大檔案對 AI 的傷害特別大。\u003C\u002Fli>\u003Cli>多模型串接，會比單一模型更穩。\u003C\u002Fli>\u003C\u002Ful>\u003Cp>所以問題不是要不要用 AI。問題是，你把它放在哪一層。\u003C\u002Fp>\u003Cp>把 AI 當唯一裁判，風險太高。把它當輔助訊號，才比較合理。\u003C\u002Fp>\u003Ch2>接下來該怎麼做\u003C\u002Fh2>\u003Cp>最實際的做法很簡單。先把註解和功能碼分開看。再把大檔拆小，不要一次丟整包 bundle 給模型。\u003C\u002Fp>\u003Cp>還要縮小 prompt 範圍。不要問「這段安不安全」。改問「這段有沒有符合某種惡意模式」。問題越窄，模型越不容易被帶偏。\u003C\u002Fp>\u003Cp>另外，AI 審查不要單獨上線。最好搭配 static analysis、sandbox、人工複核。尤其是超過 3MB 的檔案，真的別只靠一個模型拍板。\u003C\u002Fp>\u003Cp>我覺得這篇研究最有價值的地方，不是告訴你 AI 很爛。它是在提醒大家，AI 審查要先學會忽略雜訊。否則，攻擊者只要在註解裡多講幾句話，就可能把結果改掉。\u003C\u002Fp>\u003Cp>如果你的團隊已經在用 AI 做 code review，下一步不是換更大的模型。先檢查流程有沒有把大檔、註解和風險訊號拆開。這比追新模型實際多了。\u003C\u002Fp>","Cloudflare 測試 7 個 AI 模型後發現，隱藏註解可讓程式碼審查誤判，大片檔案的偵測率甚至掉到 12%。","securitybrief.com.au","https:\u002F\u002Fsecuritybrief.com.au\u002Fstory\u002Fcloudflare-warns-of-ai-code-review-prompt-injection",null,"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1777873854563-nb4y.png","research","zh","3f227e2a-caf6-4c97-9914-a0b2674907e6",[17,18,19,20,21,22,23],"Cloudflare","AI code review","prompt injection","資安","LLM","Cloudflare Workers","程式碼審查",3,"2026-05-04T05:50:32.359808+00:00","2026-05-04T05:50:32.246+00:00",{"tags":28,"relatedLang":38,"relatedPosts":42},[29,31,33,34,36],{"name":17,"slug":30},"cloudflare",{"name":21,"slug":32},"llm",{"name":20,"slug":20},{"name":18,"slug":35},"ai-code-review",{"name":19,"slug":37},"prompt-injection",{"id":15,"slug":39,"title":40,"language":41},"cloudflare-ai-code-review-prompt-injection-en","Cloudflare finds AI code review can be fooled","en",[43,49,55,61,67,73],{"id":44,"slug":45,"title":46,"cover_image":47,"image_url":47,"created_at":48,"category":13},"a4cf24e5-b958-4f91-bdca-2f1a57e81aef","why-benchmark-leaderboards-are-wrong-about-model-logic-zh","為什麼基準排行榜看錯了模型邏輯","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780673571153-x7yi.png","2026-06-05T15:32:23.043639+00:00",{"id":50,"slug":51,"title":52,"cover_image":53,"image_url":53,"created_at":54,"category":13},"4a829d2a-24a3-42dd-8be4-49e5ab35435a","why-prompt-engineering-is-wrong-about-2026-zh","為什麼 2026 年 prompt engineering 錯了","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780661884287-ow45.png","2026-06-05T12:17:19.813402+00:00",{"id":56,"slug":57,"title":58,"cover_image":59,"image_url":59,"created_at":60,"category":13},"52a37532-880d-4261-8f62-2f254d6c592d","spire-evidence-grounded-ai-humanities-zh","SPIRE 讓人文 AI 更重證據","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780647483844-bcuj.png","2026-06-05T08:17:29.603104+00:00",{"id":62,"slug":63,"title":64,"cover_image":65,"image_url":65,"created_at":66,"category":13},"b38c56a6-e7f3-45fb-b100-d37e7b3ed417","reinforcement-aware-distillation-llm-reasoning-zh","強化感知蒸餾，想把推理一起學進去","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780646589500-0me6.png","2026-06-05T08:02:33.908932+00:00",{"id":68,"slug":69,"title":70,"cover_image":71,"image_url":71,"created_at":72,"category":13},"60f7d702-20a7-4cec-9a80-185f072c8dfe","next-token-models-plan-ahead-zh","次詞模型其實會先想一步","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780645684780-roea.png","2026-06-05T07:47:34.35089+00:00",{"id":74,"slug":75,"title":76,"cover_image":77,"image_url":77,"created_at":78,"category":13},"7ec803f7-2658-4c9e-baa6-2b8528407d7f","google-deepmind-co-scientist-researchers-zh","Google DeepMind 對外開放 Co-Scientist","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780636679231-q694.png","2026-06-05T05:17:30.68789+00:00",[80,85,90,95,100,105,110,115,120,125],{"id":81,"slug":82,"title":83,"created_at":84},"f18dbadb-8c59-4723-84a4-6ad22746c77a","deepmind-bets-on-continuous-learning-ai-2026-zh","DeepMind 押注 2026 連續學習 AI","2026-03-26T08:16:02.367355+00:00",{"id":86,"slug":87,"title":88,"created_at":89},"f4a106cb-02a6-4508-8f39-9720a0a93cee","ml-papers-of-the-week-github-research-desk-zh","每週 ML 論文清單，為何紅到 GitHub","2026-03-27T01:11:39.284175+00:00",{"id":91,"slug":92,"title":93,"created_at":94},"c4f807ca-4e5f-47f1-a48c-961cf3fc44dc","ai-ml-conferences-to-watch-in-2026-zh","2026 AI 研討會投稿時程整理","2026-03-27T01:51:53.874432+00:00",{"id":96,"slug":97,"title":98,"created_at":99},"cf046742-efb2-4753-aef9-caed5da5e32e","adaptive-block-scaled-data-types-zh","IF4：神經網路量化的聰明選擇","2026-03-31T06:00:36.990273+00:00",{"id":101,"slug":102,"title":103,"created_at":104},"53a0dc54-0371-4e40-8d5e-74e94a73840c","geometry-aware-similarity-metrics-for-neural-representations-zh","超越距離測量：用微分幾何重新理解神經網路","2026-03-31T06:01:01.241968+00:00",{"id":106,"slug":107,"title":108,"created_at":109},"fee7d472-a775-4b1d-bbc2-1e8bca1bbf8b","on-the-fly-repulsion-in-the-contextual-space-for-rich-divers-zh","讓AI繪圖更有創意：用排斥力提升生成多樣性","2026-03-31T06:01:25.439673+00:00",{"id":111,"slug":112,"title":113,"created_at":114},"a9901203-d69b-447b-8854-15d14eab32b4","vision-aided-beam-prediction-cnn-eca-zh","影像輔助波束預測升級 CNN","2026-04-01T10:00:25.8073+00:00",{"id":116,"slug":117,"title":118,"created_at":119},"b55e7dd4-0a24-4b3d-804d-b0309a03f498","triple-band-fss-mimo-antenna-sub-6-ghz-zh","三頻 FSS MIMO 天線瞄準 sub-6 GHz","2026-04-01T13:18:36.857305+00:00",{"id":121,"slug":122,"title":123,"created_at":124},"f68290bd-e7f3-4b30-ba22-dcd4e0130a66","openclaw-1299-repos-eight-weeks-analysis-zh","OpenClaw 1299 個 Repo 的資料解讀","2026-04-02T05:03:45.208411+00:00",{"id":126,"slug":127,"title":128,"created_at":129},"ed9f80eb-eb02-4d35-8ad4-0ddf428751dd","beam-coherence-aware-combining-mmwave-mimo-zh","毫米波 MIMO 的雙階合併法","2026-04-02T05:27:26.897188+00:00"]