2025 年，我们的系统已经在主流开源仓库自动发现了 60+ 个真实世界漏洞，半数以上都是高危漏洞，我们发现：**成功的关键并非某个单一技术突破，而是正确把握了 AI 演进的范式，并在每次范式转换中及时调整方法**。与此同时，我们也观察到，大量曾经发表于顶会的工作，因为未能跟上范式转移而逐渐失去现实影响力。这一现象促使我们写下这篇文章：系统梳理 2022–2025 年间自动化漏洞挖掘的三次范式跃迁——从「LLM 做代码分类」到「LLM 辅助传统工具」再到「Agent 主导的自动化审计」——帮助读者理解范式转换的规律，做出能够跨越范式的研究与工程决策。

我们研发的AI自动化漏洞挖掘引擎已经在各种类型的重要开源软件中挖出了30多个漏洞，其中近半数都是具有较高的实际危害（如RCE）。这篇文章将分享一个比较有趣的漏洞:"零知识证明库 gnark 中发现了一个高危漏洞（CVE-2025-57801，CVSS 8.6）"，后续我们也会分享更多有意思的漏洞出来。