体检报告说“没事”就真没事吗
你去体检,报告写着“未见异常”。但你心里清楚:这只代表这次、这些项目、这台仪器没查出问题,不等于你身体绝对健康——有的毛病这次没查、有的太早期查不出。报告“通过”和“真的健康”是两码事。
AI 帮你做安全扫描也一样。它说“没发现漏洞”,真实含义是“在它这次的判断里、按它见过的模式,没认出问题”——不是“这段代码绝对安全”。
假阴性:最危险的那种错
检查会犯两种错。假阳性:明明没病,却报成有病——顶多让你白虚惊一场、多查一次。假阴性:明明有病,却报成没病——这才要命,因为它让你误以为安全而放松警惕。
AI 安全扫描的假阴性,就是真有漏洞却说“没问题”。它可能因为没见过这种攻击套路、上下文不够、或被巧妙伪装的代码骗过去,而漏报。你一旦把“它没报问题”当成“没有问题”,漏洞就堂而皇之地上线了。
正确的姿势:把它当“线索”,不当“结论”
那 AI 扫描还有用吗?有用——它能快速扫一遍、提示一批可疑点,帮你省力。但它的输出是线索,不是判决。
正确做法是交叉验证:AI 报了问题,人去确认是真是假;AI 说没问题,也别就此收工,关键路径仍要靠人工 review、专门的安全工具、测试多手段一起把关。多一道独立的检查,就少一分被假阴性坑到的概率。
自测 · 学完检查一下
想真正动手做题、记进度、攒连胜?到互动课里练。
“明明有漏洞,检查却报成没问题”,这种漏报型的错误叫做“假____”。
答案:阴性
有问题却被判成没问题,是“假阴性”(漏报);它比“假阳性”(虚报)在安全场景里更危险。
下面哪种情况属于“假阴性”?
答案:代码真有漏洞,扫描却说“没发现问题”
假阴性 = 有问题却被判没问题(漏报);第一项“没病报有病”是假阳性。
判断:AI 把代码扫描了一遍,说“未发现安全问题”,这就意味着这段代码已经绝对安全、可以放心上线了。
答案:否
“未发现”只代表这次、按它见过的模式没认出问题,可能存在假阴性(漏报),不等于绝对安全。
“AI 扫描通过”最准确的含义是下面哪一个?
答案:在 AI 这次的有限判断里没认出问题,相当于一条线索而非结论
AI 扫描通过是一次有限范围检查的结果,应作为线索看待,而不是“绝对安全”的判决。
AI 安全扫描报告“未发现问题”,对一段处理支付的关键代码,最稳妥的后续行动是?
答案:把这条结论当线索,再叠加人工 review、专门安全工具和测试做交叉验证
关键代码要靠多种独立手段交叉验证,单凭 AI 一句“没问题”无法排除假阴性。
判断:在安全场景里,假阴性(漏报真漏洞)通常比假阳性(虚报不存在的问题)更危险,因为它让人误以为安全而放松防备。
答案:是
假阳性顶多浪费一次复查时间,而假阴性会放过真漏洞、诱导人放松警惕,后果严重得多。