从云端到边缘：使用大语言模型进行自动化软件漏洞检测的隐私优先方案

本文介绍了印度学生团队的毕业设计项目，针对传统SAST工具的局限与LLM云端使用的隐私风险，提出兼顾检测能力与隐私保护的多阶段框架。通过对比Google Gemini云端API与本地量化Llama 3模型，结合提示工程优化，实现96%召回率的本地漏洞检测，同时确保代码隐私。项目还包含交互式Streamlit界面，为企业和学习者提供实用方案。

传统SAST工具存在高误报率、缺乏语义理解的问题，难以检测复杂逻辑漏洞；LLM虽能识别微妙漏洞模式，但云端使用会引发代码隐私与知识产权泄露风险。核心问题：能否在本地硬件运行LLM，兼顾隐私与检测能力？

三阶段框架包括：1.云端基线（Google Gemini 2.5 Flash API零样本推理，建立性能基准）；2.本地部署（Meta Llama3 8B模型，4-bit量化，在NVIDIA RTX3060 12GB上通过Ollama运行）；3.提示工程优化（零样本、角色扮演、少样本提示，其中少样本最有效）。

数据集基于CodeXGLUE构建，涵盖Web应用（SQLi、XSS，Python/PHP）和系统级漏洞（缓冲区溢出、内存泄漏，C/C++）；关键成果：本地模型召回率96%，代码隐私保护，无API费用，低延迟适合CI/CD。

交互式Streamlit界面支持粘贴代码、选择提示策略、查看分析报告、对比效果；工程细节：硬件要求12GB显存NVIDIA GPU，依赖管理（requirements.txt），模块化设计便于实验。

局限包括硬件门槛（RTX3060非普及）、假阳性率高、漏洞类型覆盖有限、模型需手动更新；未来方向：更激进量化（如GGUF Q4_K_M）、二次过滤机制、扩展漏洞类型、建立版本管理流程。

启示：企业可通过本地部署+提示工程平衡AI能力与隐私；提示工程可弥补模型规模差距；项目展示完整研究流程，具教育价值。