本文研究如何验证威胁建模结果的有效性。传统的验证方法通常依赖专家产生的参考模型或人工基线，但这些方法可能存在遗漏或意见不一致的问题。作者提出一种基于易受攻击的测试应用（vulnerable test applications）的互补验证方法：对已知存在特定漏洞集的系统进行威胁建模，然后测量发现了多少相关漏洞，从而量化威胁模型的覆盖度。作者将团队开发的 LLM 辅助威胁建模工具 ThreMoLIA 与微软威胁建模工具（MTMT）进行对比，在两个易受攻击的应用——AzureGoat 和 Vulnerable Bank Application（VulnBank）上进行了实验。输入仅限于架构图、数据流图及其描述。结果显示，ThreMoLIA 在两个系统上均实现了更高的漏洞覆盖率。研究表明，易受攻击的测试应用可以作为评估威胁覆盖度的实用基准，并补充基于专家的验证方法。