Semgrep 团队将 10 个大模型和编程助手投入 IDOR 检测基准测试结果显示智谱 AI 的 GLM 5.2 以开源、低价优势裸跑 F1 达 39%性价比亮眼。IDOR 漏洞揭秘IDOR 即不安全的直接对象引用是一种“缺失型漏洞”。如示例代码虽无危险调用和注入点但未检查登录用户身份修改 URL 数字就能获取他人数据检测这类漏洞颇具难度。测试结果大比拼Semgrep 实验中裸跑的 GLM 5.2 拿到 39%的 F1Claude Code 两次运行分别为 37%和 28%OpenAI 的 Codex 20%DeepSeek V4 垫底 17%。而 Semgrep 自家多模态管线配 GPT 5.5 排第一F1 达 61%。GLM 5.2 优势凸显GLM 5.2 于 6 月 13 日发布四天后开源全部权重。其架构为 MoE总参数量约 7500 亿上下文窗口提升。它成本低找到一个真实漏洞成本仅 0.17 美元约为同类前沿模型的六分之一。实验结论启示Semgrep 团队总结脚手架比模型重要给模型搭脚手架性价比更高开源权重模型裸提示词能在推理型安全任务上击败前沿编程助手大模型经济学与模型能力同等重要成本优势影响工具选型。实验局限性与建议该实验是单任务、单数据集、单次运行IDOR 检测非确定性换漏洞类型结果可能不同。但指向明确做代码安全产品应更好利用已有模型选模型做安全任务GLM 5.2 因性价比值得关注。编辑观点GLM 5.2 在 IDOR 检测中的表现让我们看到开源模型的潜力。未来代码安全领域或更注重模型性价比开源模型有望迎来更多机会。