Раньше уязвимости ловились проще — найдёшь одно слабое место и всё, беги чинить. Сейчас же весь замес в цепочках из мелких багов, которые по отдельности почти незаметны. Автоматизация помогает, но чтобы реально разобраться, надо разбирать логи, копать в коде и думать головой. Так что без ручного гугла и понимания логики сейчас никак, иначе пропустишь самое важное.