一句话定位:AutoCVE 是一个基于多 Agent 协作的 AI 自动化漏洞挖掘平台,它试图让机器完成从项目筛选、源码分析、漏洞验证到 CVE 报告生成的完整安全研究流程。


在传统安全研究领域,CVE 漏洞挖掘是一项高度依赖经验的工作。
安全研究员需要:
选择目标项目
阅读大量源码
分析业务逻辑
定位潜在漏洞
编写 PoC
验证漏洞影响
整理漏洞报告
整个流程耗时长,而且非常依赖个人技术能力。
而 AutoCVE 的目标,是利用 AI Agent + 自动化代码审计流程,把这套复杂流程拆解成多个智能任务,让 AI 协助完成漏洞研究。
项目地址:
https://github.com/larlarua/AutoCVE
1. 自动化 CVE 挖掘流水线
AutoCVE 最大的特点,是覆盖漏洞发现的完整生命周期。
从:
目标项目选择↓源码导入↓代码分析↓漏洞发现↓漏洞验证↓报告生成
形成自动化闭环。
传统工具更多解决:
“扫描哪里可能有漏洞”
而 AutoCVE 更关注:
“发现漏洞之后,如何证明它是真漏洞,并形成可提交的报告”
这也是它区别于普通扫描器的核心价值。
1. Multi-Agent 多智能体架构
AutoCVE 并不是简单调用一个大模型分析代码。
Orchestrator | -------------------------------- | | | | Recon Scan Finding Verify 信息收集 扫描分析 漏洞挖掘 验证确认
Recon Agent
负责:
项目结构分析
技术栈识别
攻击面发现
类似安全研究员的前期侦察阶段。
Scan Agent
负责:
自动化扫描
静态分析
初步漏洞定位
Finding Agent
负责:
深入阅读代码
理解业务逻辑
挖掘潜在漏洞
Verification Agent
负责:
判断漏洞真实性
降低误报
验证漏洞影响
这种设计符合真实安全团队工作模式。
2. LLM + 代码理解能力
传统静态扫描依靠:
规则库
正则匹配
AST 分析
但是很多高价值漏洞,例如:
权限绕过
业务逻辑漏洞
身份认证缺陷
很难通过规则发现。
AutoCVE 利用大模型:
阅读代码上下文
理解函数调用关系
分析业务逻辑
推理攻击路径
让 AI 从:
“代码扫描工具”
升级为:
“辅助安全研究员”。
3. ReAct Agent 工作流
项目采用 Agent 推理模式:
观察代码 ↓分析问题 ↓调用工具 ↓验证结果 ↓继续推理
类似安全人员:
“发现异常 → 调查 → 验证 → 深挖”
这样的循环过程。
如果从工程角度拆解:
后端
预计核心负责:
Agent 调度
任务管理
模型调用
漏洞数据管理
技术方向:
Python
FastAPI
数据库系统
前端
提供:
审计任务创建
Agent 状态展示
漏洞管理
报告查看
技术方向:
React
部署
采用:
Docker
Compose
降低安全研究人员部署成本。
1. 安全研究人员
适合:
CVE 挖掘
0Day 研究
开源项目审计
AI 可以承担大量重复阅读工作。
2. 企业安全团队
企业每天都有大量:
开源组件
内部代码
第三方依赖
需要安全审计。
AutoCVE 可以作为:
AI 安全代码审查助手
提前发现风险。
3. 开源项目维护者
很多开源项目没有专业安全团队。
AutoCVE 可以帮助:
自动检查漏洞
生成安全报告
提升项目安全质量
方向一:成为 AI 安全审计平台
未来可以扩展:
GitHub 自动扫描
CI/CD 集成
Pull Request 安全检查
例如:
开发者提交代码:
git push ↓ AutoCVE 自动分析 ↓ 发现风险 ↓ 生成修复建议
类似 AI Code Review。
方向二:结合企业私有代码审计
目前企业最需要的是:
“不上传源码情况下完成安全分析”。
未来可以发展:
私有化部署
企业知识库
内部漏洞经验学习
方向三:漏洞修复 Agent
下一阶段不仅:
发现漏洞
还可以:
发现漏洞 ↓ 分析原因 ↓ 生成 Patch ↓ 自动提交 PR
形成:
AI 自动漏洞修复系统。
优点
✅ 自动化程度高
减少安全人员大量重复劳动。
✅ 面向真实安全流程
不是简单 Demo,而是围绕:
发现 → 验证 → 报告
设计。
✅ 开源可二次开发
对于安全团队:
可以根据自己的需求增加:
扫描规则
Agent 能力
企业流程
1. AI 幻觉问题
安全领域最怕:
误报。
AI 可能:
错误理解代码
产生不存在漏洞
所以:
人工验证仍然不可缺少。
2. 深层业务漏洞仍然困难
例如:
复杂权限模型
金融业务逻辑
分布式系统漏洞
需要大量上下文。
3. 大模型成本
大规模源码分析:
需要:
高性能模型
GPU
API 成本
企业使用需要考虑成本。
八、程序员视角总结
AutoCVE 最大价值,不是替代安全研究员。
而是:
把安全专家几十分钟甚至几小时的源码分析过程,压缩成 AI Agent 自动完成的一套工作流。
它代表了未来一个明显趋势:
软件开发正在进入 AI 辅助安全时代。
未来开发流程可能变成:
写代码 ↓ AI Code Review ↓ AI 安全审计 ↓ AI 漏洞修复 ↓ 自动发布

AutoCVE 是这个方向上的一次非常有代表性的探索。
项目评价
⭐ 技术创新:★★★★★⭐ 工程价值:★★★★☆⭐ 实用价值:★★★★☆⭐ 发展潜力:★★★★★
如果你关注:
AI Agent
网络安全
自动化审计
开源安全工具
AutoCVE 值得深入研究。


获取更多开源新资讯
夜雨聆风