这次实验让我们深入理解了提示注入漏洞的成因和防御思路，也锻炼了在大型开源项目中扩展功能的能力。接入真实 LLM（如 Ollama 或 OpenAI API），使注入更逼真。增加更多挑战，如“越狱”、“角色扮演”等。对接 Juice Shop 官方挑战系统，实现积分同步和代码挑战（Find It / Fix It）。如果你也对 Web 安全或 CTF 挑战开发感兴趣，欢迎访问我们的 GitHub 仓

本文对OWASP ZAP主动扫描模块进行了深度逆向工程分析。通过顺序图与类图复原了命令注入检测流程，识别出策略模式、工厂模式等核心设计模式。代码标注重点分析了5个关键函数，包括命令注入检测、HTML上下文分析等核心逻辑。使用SpotBugs发现42个问题，其中3个高优先级缺陷需修复。人工审查发现异常处理、安全编码等方面存在改进空间。结对协作采用角色轮换方式，实现了能力互补，有效提升了分析质量。研究