ESAA-Security: An Event-Sourced, Verifiable Architecture for Agent-Assisted Security Audits of AI-Generated Code

收录解读

AI-assisted coding 把安全审计问题从人工 code review 推向 agent-assisted audit，但现实里的痛点不是模型会不会指出漏洞，而是审计过程是否可复现、覆盖是否均匀、证据链是否稳定。自由对话式安全 review 很难提供可验证的审计轨迹。

ESAA-Security 的核心是把安全审计 workflow 改写成 governed execution pipeline：agent 只产生受约束的 structured intentions，orchestrator 以 append-only events 接受与持久化状态变更，再通过 replay、hashing 和 executable checks 来验证审计结论。论文把这一架构具体展开为 26 个任务、16 个安全域和 95 个可执行检查，使 security audit 从 prompt-driven review 变成 evidence-oriented audit process。

它值得正式收录，因为这类工作真正改变的是 agentic security audit 的工程接口。对 AI-generated code 的安全控制而言，重要的不是某个模型在某类漏洞上的 recall，而是审计是否由 contracts、events 和 replay verification 约束，这属于强可复用的 workflow architecture。

它没有升到更高一级，是因为当前场景仍聚焦在代码安全审计这一条窄线，外溢到更广 agent governance 基础设施还需要更多证明。现阶段它是很强的 audit architecture，而不是全局 agent operating model。

链接