2026年1月5日，美国西雅图——ZAST.AI宣布完成600万美元Pre-A轮融资。本轮投资来自知名投资机构高瓴资本，使ZAST.AI的总融资额接近1000万美元。这标志着领先资本市场对一种新解决方案的认可：结束安全工具高误报率的时代，让每个警报都真正可操作。

2025年，ZAST.AI在数十个热门开源项目中发现了数百个零日漏洞。这些发现通过VulDB等权威漏洞平台提交，成功获得了119个CVE编号。这些不是实验室目标，而是支撑全球业务的生产级代码。受影响的知名项目包括Microsoft Azure SDK、Apache Struts XWork、阿里巴巴Nacos、Langfuse、Koa、node-formidable等广泛使用的组件和框架。

正是在这些广泛采用的开源项目中，ZAST.AI发现了数百个真实、可利用的漏洞，并提供了可执行的概念验证（PoC）证据。来自微软、Apache和阿里巴巴等顶级技术公司的项目维护者已经根据ZAST.AI提交的PoC修复了他们的代码。

"在传统的代码安全分析领域，高误报率一直是困扰企业安全团队的核心痛点。安全工程师经常需要花费大量时间手动验证工具生成的警报，导致效率极低，"ZAST.AI联合创始人杨耿表示。"'报告很便宜，给我看PoC！'这是创立ZAST.AI的初衷——我们相信只有经过验证的漏洞才值得报告。"

ZAST.AI的核心创新在于其"自动化PoC生成+自动化验证"技术架构。与传统静态分析工具不同，ZAST.AI利用先进的AI技术对应用程序进行深度代码分析。它不仅能自动生成利用漏洞的概念验证代码，还能自动执行并验证PoC是否成功触发漏洞。最终报告仅呈现经过实际验证的真实漏洞，实现突破性的"零误报"效果。

"这不是优化，而是重构，"高瓴资本代表表示。"ZAST.AI重新定义了漏洞验证标准，从'潜在风险'转向'已确认漏洞，这是PoC'。这改变了游戏规则。"

在漏洞覆盖范围方面，ZAST.AI不仅支持检测SQL注入、XSS、不安全反序列化和SSRF等"语法级"漏洞，还具备识别语义级漏洞的能力。这包括IDOR、权限提升和支付逻辑漏洞等复杂业务逻辑缺陷——这些长期被认为是自动化工具难以触及的领域。想象一下，你的安全工具每天都在"狼来了"，误报率超过60%。当真正的"狼"出现时，团队可能已经麻木了。这不是人的问题，而是工具缺陷——它们只能猜测，无法证明。

目前，ZAST.AI已经服务多家企业客户，包括《财富》全球500强公司。通过自动发现未知漏洞并直接提供可运行的PoC漏洞报告，ZAST.AI帮助客户显著缩短漏洞修复周期，明显降低安全运营成本，并获得了客户的高度认可。本轮融资将主要用于核心技术研发、产品功能扩展和全球市场开发。CEO杨耿表示："我们的愿景是构建端到端的AI驱动安全平台，让每个开发团队都能以最低成本获得最高质量的安全保障。未来，ZAST.AI将继续深化AI+安全领域的技术创新，为全球客户提供更智能、更精准、更高效的代码安全解决方案。"

Q&A

Q1：ZAST.AI的"零误报"技术是如何实现的？

A：ZAST.AI采用"自动化PoC生成+自动化验证"技术架构，利用先进AI技术进行深度代码分析，不仅能自动生成利用漏洞的概念验证代码，还能自动执行并验证PoC是否成功触发漏洞，最终报告仅呈现经过实际验证的真实漏洞。

Q2：ZAST.AI能检测哪些类型的安全漏洞？

A：ZAST.AI不仅支持SQL注入、XSS、不安全反序列化和SSRF等"语法级"漏洞检测，还具备识别IDOR、权限提升和支付逻辑漏洞等复杂业务逻辑缺陷的能力，这些都是传统自动化工具难以触及的语义级漏洞领域。

Q3：ZAST.AI在2025年取得了哪些实际成果？

A：2025年，ZAST.AI在数十个热门开源项目中发现了数百个零日漏洞，通过VulDB等权威平台获得119个CVE编号。受影响项目包括Microsoft Azure SDK、Apache Struts XWork、阿里巴巴Nacos等知名组件，相关厂商已根据提供的PoC修复代码。