AI 用于代码扫描，Semgrep完成融资1亿美元

2025年2月5日，应用安全平台Semgrep宣布获得由Menlo Ventures领投的1 亿美元D 轮融资。对于安全公司来说，融资数额算比较大。此次融资核心原因是AI的应用：

Semgrep 首席执行官Isaac Evans表示：“安全 AI 时代已经到来...”

那么，Semgrep的AI应用效果如何，原理流程是什么，模型是如何选择的，我们来逐一看看。

从Semgrep给的材料和数据看，AI助理主要有以下作用及效果

1. 评估正确/错误告警。传统的代码扫描以规则为主，误报高一直是比较严重的问题。Semgrep引入AI后，正确告警率能达到96%，这个是非常理想的数据。
2. 结合上下文的优先级评估，分析哪些风险是高危的，然后给出优先级排序。非常重要，代码分析最大的问题是告警特别多，处理不完，这个可以降低团队的处理压力。
3. AI修复建议。

看上去效果还不错，可以一键修复。实际数据，Semgrep统计，建议被用户接受率超过92%。

Semgrep采用的是静态扫描加大模型的方法，首先使用引擎扫描，对结果用大模型来处理，找到真实告警，然后结合上下文处理，给出修复建议。

为什么要结合静态分析工具和大模型一起使用，原因如下：

Semgrep没有使用自己的模型，用的是通用模型，包括OpenAI,Gemini,Llama,Anthropic(claude)等。

对模型的优劣，其CTO作了一个比较

目前gpt4o表现最好，但价格有点贵，用gpt o1,对PR提交速度太慢，对大块分析太贵。

期待更好的模型，这个，Deepseek应该可以顶上来了。

用大模型做代码分析，是一个非常好的应用场景，之前的文章介绍过一些论文，有两条路线，一是大模型结合传统工具的方法，类似Semgrep,二是直接采用大模型分析。

目前semgrep的商业方案得到客户认可，并完成大额融资，说明这条路线目前看问题不大。