ZAST.AI 获得 600 万美元 Pre‑A 融资，推动“零误报” AI 驱动代码安全

2026年1月5日，美国西雅图——ZAST.AI宣布完成 600 万美元的 Pre‑A 融资轮。本轮投资来自知名投资机构高瓴资本，使 ZAST.AI 的累计融资接近 1000 万美元。这标志着资本市场对一种新解决方案的认可：终结安全工具中高误报率的时代，让每一次警报都真正可操作。

2025 年，ZAST.AI 在数十个流行的开源项目中发现了数百个零日漏洞。这些发现通过 VulDB 等权威漏洞平台提交，成功获得了 119 个 CVE 编号。这些并非实验室代码，而是支撑全球业务的生产级代码。受影响的知名项目包括广泛使用的组件和框架，如 Microsoft Azure SDK、Apache Struts XWork、阿里巴巴 Nacos、Langfuse、Koa、node‑formidable 等。

正是在这些被广泛采用的开源项目中，ZAST.AI 发现了数百个真实且可利用的漏洞，并提供了可执行的概念验证（PoC）证据。来自微软、Apache、阿里巴巴等顶尖科技公司的项目维护者已根据 ZAST.AI 提交的 PoC 对代码进行了修补。

“在传统的代码安全分析领域，高误报率长期是困扰企业安全团队的核心痛点。安全工程师往往需要花费大量时间手动验证工具产生的警报，导致效率极低，” ZAST.AI 联合创始人耿阳 说。“报告很便宜，给我看 PoC！这正是创立 ZAST.AI 的初衷——我们相信只有经过验证的漏洞才值得报告。”

ZAST.AI 的核心创新在于其“自动生成 PoC + 自动验证”技术架构。不同于传统的静态分析工具，ZAST.AI 利用先进的 AI 技术对应用程序进行深度代码分析。它不仅能够自动生成利用漏洞的概念验证代码，还能自动执行并验证 PoC 是否成功触发漏洞。最终报告仅呈现已实际验证的真实漏洞，实现了突破性的“零误报”。

“这不是一次优化，而是一次重构，” 高瓴资本代表表示。“ZAST.AI 重新定义了漏洞验证的标准，从‘潜在风险’转向‘已确认漏洞，附带 PoC’。这将改变游戏规则。”

在漏洞覆盖方面，ZAST.AI 不仅支持检测 SQL 注入、XSS、不安全反序列化、SSRF 等“语法层面”漏洞，还具备识别语义层面漏洞的能力，包括复杂的业务逻辑缺陷，如 IDOR、权限提升和支付逻辑漏洞——这些长期被认为是自动化工具难以触及的领域。想象一下，你的安全工具每天都在喊“狼来了”，误报率超过 60%。当真正的“狼”出现时，团队可能已经麻木。这不是人的问题，而是工具的缺陷——它们只能推测，而不能证明。

目前，ZAST.AI 已为多家企业客户提供服务，包括《财富》全球 500 强公司。通过自动发现未知漏洞并直接提供可运行的 PoC 漏洞报告，ZAST.AI 帮助客户显著缩短漏洞修复周期，显著降低安全运营成本，获得了客户的高度认可。本轮融资将主要用于核心技术研发、产品功能扩展和全球市场拓展。CEO 耿阳 表示：“我们的愿景是构建端到端的 AI 驱动安全平台，使每个开发团队以最低成本获得最高质量的安全保障。未来，ZAST.AI 将继续深化 AI+安全的技术创新，为全球客户提供更智能、更精准、更高效的代码安全解决方案。”