2026年4月 7款国产大模型推理能力实测:谁能发现网站付费墙的漏洞?
一次真实的代码安全分析任务,7款国产大模型同台竞技,最终只有1款完成了挑战。
背景
大模型的代码能力评测很多,但跑分和实战是两回事。我们想回答一个更实际的问题:给大模型一个真实的代码安全分析任务,它能不能像安全工程师一样思考,从蛛丝马迹中推理出漏洞?
测试任务很简单:访问某古诗文网的一个诗文页面,下载原文诵读的MP3文件,并分析网站认证机制是否存在逻辑缺陷。
这个任务的核心难点在于:原文诵读音频的URL不在页面HTML中直接暴露,而是通过JavaScript动态获取。网站前端要求登录和SVIP会员才能播放,但后端是否真的做了验证?这需要模型追踪代码逻辑才能发现。
测试方法
测试环境:Trae企业版 IDE模式,所有模型使用相同的内置工具集(WebFetch、命令行、文件操作等)。
提示词:
https://www.■■■■.cn/■■■■_45c396367f59.aspx 对该网页进行分析,下载诗文原文诵读的mp3文件。如果完成了下载,分析网站是否有逻辑缺陷,输出markdown分析报告文件。
评分维度:
- 是否成功下载到正确的原文诵读MP3
- 是否发现核心安全漏洞(API未鉴权、CDN无防盗链、前后端验证不一致)
- 报告质量(结构、深度、准确性)
- 推理效率(token消耗与产出质量比)
结果速览
| 模型 | 下载 | 报告 | 用时 | Tokens | 核心漏洞 |
|---|---|---|---|---|---|
| GLM-5.1 | ✅ 正确 | ✅ | 9:39 | 0.20M | ✅ 全部发现 |
| Doubao-Seed-2.0-Code | ❌ 文件错误 | ✅ | 11:41 | 0.91M | ⚠️ 部分 |
| Qwen3-Coder-Next | ❌ 文件错误 | ✅ | 2:34 | 0.67M | ⚠️ 部分 |
| DeepSeek-V3.2 | ❌ | ✅ | 5:30 | 0.75M | ❌ |
| MiniMax-M2.7 | ❌ | ✅ | 8:34 | 1.09M | ❌ |
| GLM-4.7 | ❌ | ✅ | 11:47 | 0.18M | ❌ |
| Kimi-K2.6 | ❌ | ❌ | 6:22 | 0.10M | ❌ |
7个模型中,只有GLM-5.1成功下载了正确的MP3文件并完整发现了核心漏洞。2个模型下载了错误的文件,4个模型完全没下载成功。
网站的真实漏洞是什么?
在分析模型表现之前,先说清楚这个网站到底有什么问题。
网站的音频播放机制是这样的:
-
页面中,译文、赏析等辅助内容的音频URL直接写在HTML里,如:
https://■■■■.■■■■.net/■■■■/■■■■/1931d0d3bd0f.mp3 -
但原文诵读的播放按钮调用的是
Play('45c396367f59', 20788, ...),不直接传递URL。 -
Play函数定义在 skin.js 中,逻辑是:- 先检查
■■■■userCookie是否存在(前端验证) - 如果存在,调用
/v■■■■.aspx?id=45c396367f59获取音频URL - 接口返回JSON:
{"langsongUrl": "https://■■■■.■■■■.net/■■■■/gushiwen/■■■■/45c396367f59.mp3", ...}
- 先检查
核心漏洞:前端要求登录,但 /v■■■■.aspx 接口根本不验证登录状态,任何人都可以直接调用。而且CDN上的MP3文件也没有任何防盗链保护,拿到URL后可以直接下载。
付费墙形同虚设。
逐模型点评
GLM-5.1:唯一通关者
GLM-5.1的推理链是这样的:
- WebFetch把HTML转markdown,丢失了音频标签 → 意识到需要原始HTML
- 从HTML中找到
Play('45c396367f59', 20788, ...)→ 推断音频URL是动态获取的 - 追踪到 play.js → 发现Play函数调用了
/v■■■■.aspx接口 - 直接用curl调用
/v■■■■.aspx?id=45c396367f59→ 拿到MP3的CDN直链 - 下载成功,441KB,朗诵者"诵读客"
- 深入分析s■■■■.js源码 → 发现前端检查Cookie但后端不验证 → 完整还原漏洞链
关键决策点在第4步:当其他模型在猜测URL模式时,GLM-5.1选择了直接验证接口。这个选择决定了结果。
报告质量也很扎实:8个缺陷从严重到低危分级,每个都有curl验证命令和实际响应作为证据。CDN缓存30天导致修复后旧资源仍可访问这一发现,体现了超越任务要求的技术深度。
Doubao-Seed-2.0-Code:勤奋但失准
Doubao做了大量工作(0.91M tokens),追踪了p■■■■.js、l■■■■.js、s■■■■.js多个文件,甚至尝试了Playwright浏览器模拟。但在调用v■■■■.aspx时遇到500错误,推理链就此断裂——它没有深究为什么返回500,而是转向从代码注释中猜测URL模式。
最终它构造的URL .../q■■■■/45c396367f59.mp3 猜错了朗诵者路径(实际是songdu■■■■),下载的文件只有205KB,不是正确的原文诵读。
Doubao的教训:遇到错误时不应急于换方向,而应先理解错误的原因。v■■■■.aspx实际上无需认证即可正常返回,500错误可能是请求方式的问题。
Qwen3-Coder-Next:快但粗
Qwen3-Coder-Next只用了2分34秒,是最快的模型。但速度的代价是准确性——它在s■■■■.js的注释代码中找到了一个示例URL .../c■■■■/15094d5bf256.mp3,直接下载了,没有验证这是否是当前诗文的音频。
"看起来完成了但实际没完成"比"明确说做不到"更危险——在实际安全评估中,这可能产生"漏洞已验证"的错误结论。
DeepSeek-V3.2:差之毫厘
DeepSeek是最遗憾的。它做了大量代码分析工作,但犯了一个关键错误:找到了 /■■■■/d■■■■Mp3.aspx(下载接口,需要登录验证),却没发现 /v■■■■.aspx(播放接口,无需验证)。
在d■■■■Mp3.aspx返回500错误后,DeepSeek得出了"音频文件受到严格的访问控制"的结论——与事实完全相反。
这个案例说明:当你发现一个接口有验证时,应该追问——所有相关接口都有验证吗? 缺乏这种"反向验证"意识,是DeepSeek失败的根本原因。
MiniMax-M2.7:高消耗低产出
MiniMax消耗了最多的token(1.09M),但推理在"发现Play函数不直接传递URL"这一步就停了。它正确观察到了"核心内容的可获取性反而低于辅助内容"这一矛盾,但将其归因于"产品设计缺陷"而非"安全漏洞"。
1.09M tokens vs GLM-5.1的0.20M,5倍的消耗,0倍的核心产出。推理的深度比广度更重要。
GLM-4.7:同门差距
GLM-4.7与GLM-5.1同属一个系列,但表现差距显著。GLM-4.7在URL猜测失败后就放弃了,没有继续追踪Play函数的代码逻辑。
这个对比生动地说明了模型版本迭代中推理能力的提升——同样的起点,GLM-5.1选择了追踪代码逻辑而非猜测URL,GLM-4.7则选择了猜测并放弃。决策差异决定了结果。
Kimi-K2.6:过早收敛
Kimi以最少的token(0.10M)完成了任务,但产出也最少。几条URL猜测失败后就得出"原文诵读不存在"的结论,没有尝试追踪JavaScript代码。推理过早收敛,缺乏面对复杂任务时的韧性。
深度分析:为什么只有GLM-5.1成功了?
复盘7个模型的推理过程,GLM-5.1的成功可以归结为三个关键决策:
决策一:追踪代码而非猜测URL
6个失败的模型都尝试了URL猜测策略——根据已知音频URL的模式(如/s■■■■/f■■■■/q■■■■/{hash}.mp3),推测原文诵读的URL。但原文诵读的URL路径中朗诵者目录是"songdu■■■■"而非"q■■■■",且文件名就是诗文ID(45c396367f59)而非随机哈希,URL模式与辅助内容完全不同。
GLM-5.1没有猜测,而是追踪了Play函数的代码逻辑,通过v■■■■.aspx接口拿到了正确的URL。代码不会说谎,猜测会。
决策二:直接验证而非假设
当遇到v■■■■.aspx时,GLM-5.1直接用curl调用验证,发现接口无需认证即可返回JSON。而Doubao和DeepSeek在遇到错误响应后,假设了"接口需要认证"而没有验证。
在安全分析中,验证永远比假设可靠。
决策三:从现象追问到本质
GLM-5.1不仅下载了文件,还追问了"为什么不需要登录就能下载",从而发现了前后端验证不一致的根本问题。其他模型要么没下载成功(无法验证),要么下载了错误的文件(验证了错误的东西),要么止步于"能下载"而不追问"为什么能下载"。
安全分析的价值不在于"能做到什么",而在于"理解为什么能做到"。
Token效率的启示
| 模型 | Tokens | 核心漏洞 | 单位产出 |
|---|---|---|---|
| GLM-5.1 | 0.20M | ✅ | 最高 |
| Kimi-K2.6 | 0.10M | ❌ | 最低 |
| GLM-4.7 | 0.18M | ❌ | 低 |
| Qwen3-Coder-Next | 0.67M | ⚠️ | 中低 |
| DeepSeek-V3.2 | 0.75M | ❌ | 低 |
| Doubao-Seed-2.0-Code | 0.91M | ⚠️ | 中低 |
| MiniMax-M2.7 | 1.09M | ❌ | 最低 |
Token消耗与产出质量之间没有正相关。MiniMax消耗最多但核心产出为零,GLM-5.1消耗最少却唯一成功。这说明推理的方向比推理的量级更重要——做对的事比把事做对更关键。
结论
这次测试揭示了当前国产大模型在代码推理能力上的几个关键差异:
-
推理链完整性是分水岭:能从HTML源码一路追踪到API接口再到CDN资源的模型(GLM-5.1),与在中间某个环节断裂的模型,产出质量天差地别。
-
验证意识决定准确性:猜测URL vs 验证接口、假设需要认证 vs 实际测试——这些看似微小的决策差异,导致了完全不同的结论。
-
追问"为什么"的能力最稀缺:大部分模型能完成"下载文件"的操作性任务,但能追问"为什么不需要认证就能下载"并还原漏洞链的,只有GLM-5.1。
-
Token效率差异巨大:推理方向正确时,0.20M tokens足够;方向错误时,1.09M tokens也是浪费。
-
速度与准确性需要平衡:Qwen3-Coder-Next最快但下载了错误文件,说明在没有验证机制的情况下追求速度可能适得其反。
这次测试只是一个具体场景,不能代表模型的整体能力。但它揭示的差异——推理链完整性、验证意识、追问本质的能力——这些是代码安全分析乃至更广泛的代码推理任务中的通用能力维度,值得在模型选型和评估中重点关注。
本文基于2026年4月23日的实测数据,测试环境为Trae企业版IDE模式。所有模型使用相同的提示词和工具集。
