为什么 Regex 不够：使用 AI 推理模型审计 Discord 机器人

Source: Dev.to

Discord 生态系统的恶意软件问题

传统的机器人列表依赖于检查两件事的自动脚本：

• 机器人在线吗？
• 令牌有效吗？

如果是 → 批准。 🚨

这种懒散的做法导致大量恶意机器人渗透到服务器中。

在 DiscordForge，我们决定走更严谨的道路。我们将手动验证与 AI 推理模型（Gemini 3） 相结合。下面说明纯算法检查为何失效，以及 “深度思考” 模型如何解决这一问题。

“上下文” 问题

想象有一个机器人的描述如下：

“一个帮助你备份服务器频道的简单工具。”

标准的正则检查会看到 “backup” 与 “channels” 等关键词，并将其标记为实用工具机器人。✅

然而，推理模型会查看 权限意图：

Permissions Requested: Manage Webhooks, Mention Everyone

逻辑分析： 为什么一个备份机器人需要提及所有人？

Gemini 3 深度思考 会立即标记这种不匹配。它理解，虽然 “备份” 是合法功能，但将大规模 @everyone 权限与备份工具结合，是 Raid Bot（冲击机器人） 的高概率启发式特征。

我们的混合流水线

我们构建了一条对每个提交进行评分的流水线：

• 静态分析： 检查在线时间和 API 响应时间。
• AI 审计： 扫描描述、指令和请求的权限，寻找逻辑谬误和社会工程向量。
• 人工审查： 由真实的人（我或可信的验证者）根据 AI 报告作出最终决定。

虽然比自动批准慢，但结果是一个服务器所有者真正可以信赖的 “添加机器人” 按钮目录。

想要欺骗它？

我们目前正对该验证流程进行 beta 测试。如果你是关心安全的机器人开发者，欢迎将你的机器人列入 Forge。

提交你的机器人到 DiscordForge