当前位置: 首页 > news >正文

AutoCVE是一款基于多Agent协同的全流程自动化CVE挖掘与源码审计系统

0x01 工具介绍

AutoCVE是一款基于多Agent协同的全流程自动化CVE挖掘与源码审计系统,依托智能调度与ReAct循环机制,融合多模式审计能力,可自动完成项目筛查、漏洞挖掘、验证研判与报告生成。实测表现亮眼,可在一周内挖掘30个合规高危漏洞,覆盖多款主流开源项目,大幅降低人工挖洞成本,高效助力安全研究与漏洞申报工作。

注意:现在只对常读和星标的才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"则可能就看不到了啦!

下载地址在末尾 #渗透安全HackTwo

0x02 功能介绍

✨核心能力

🚀 一键完成 CVE 挖掘

实现从项目筛选、仓库导入、审计任务创建、Agent 漏洞挖掘到 CVE 申报报告生成的全流程自动化。用户仅需复制报告内容并提交,即可完成后续 CVE 申请。

🤖 Multi-Agent 协同审计

通过 Orchestrator 统一调度 Recon、Scan、Triage、Finding 和 Verification 等 Agent,协同完成信息收集、工具扫描、误报过滤、漏洞深挖与动态验证。

🧩 三种审计模式

根据不同审计目标灵活选择增强扫描、智能审计或综合审计,兼顾扫描效率、挖掘深度与审计覆盖范围。

审计模式核心 Agent适用场景
增强扫描Scan → Triage快速分析工具扫描结果并过滤误报
🧠智能审计Finding深度挖掘高价值漏洞,适用于 CVE 和 0Day 研究
🔍综合审计Scan → Triage + Finding融合工具扫描与源码分析,开展全量审计

🎯 面向 CVE 挖掘的专用 Agent

Finding Agent 是 AutoCVE 的核心审计能力,专为 CVE 挖掘场景设计。它可直接分析项目源码,并结合 ReAct Loop、专项工具调用、Nudge 纠偏及FinalizeFinding结构化终止机制,最终产出符合 CVE 申报条件的高价值漏洞。

💬 交互式审计与全过程追踪

  • 支持用户交互

    将完整审计过程作为会话上下文,用户可围绕审计结果继续追问,让 Agent 补充证据、解释攻击链、完善复现步骤或扩展漏洞分析。

  • 可视化审计追踪

    集中展示活动日志、Agent Tree、工具调用、阶段进度、初步报告和审计会话,方便复盘每次审计的执行路径与关键过程。

🗂️ 智能漏洞管理与 Skills 扩展

  • 智能化漏洞管理

    审计发现的漏洞由 Agent 调用工具自动提交,经过去重后以结构化形式入库,并在漏洞管理模块中统一维护。

  • 专属 Skills 配置

    支持根据实际需求为不同 Agent 配置专属 Skills,灵活扩展各 Agent 的能力边界。

成果明细(30)

CVE 编号

项目

漏洞类型

CVSS

漏洞内容

CVE-2026-40904

Chartbrew

Improper Access Control

8.1

查看详情

CVE-2026-40603

Chartbrew

Improper Access Control

6.5

查看详情

CVE-2026-40601

Chartbrew

Missing Authorization

7.5

查看详情

CVE-2026-40600

Chartbrew

Improper Access Control

8.1

查看详情

CVE-2026-40595

Chartbrew

Improper Access Control

7.5

查看详情

CVE-2026-42181

Lemmy

SSRF

6.5

查看详情

CVE-2026-42180

Lemmy

SSRF

6.3

查看详情

CVE-2026-7290

JeecgBoot

SQL Injection

6.3

查看详情

CVE-2026-7291

o2oa

SSRF

6.3

查看详情

CVE-2026-7292

o2oa

RCE

5.6

查看详情

CVE-2026-7303

xxl-job

Improper Access Control

3.7

查看详情

CVE-2026-7305

xxl-job

SSRF

6.3

查看详情

CVE-2026-7306

xxl-job

Hard-coded Key

5.6

查看详情

CVE-2026-40610

BentoML

Link Following

5.5

查看详情

CVE-2026-48763

typebot.io

Missing Authorization

8.2

查看详情

CVE-2026-48764

typebot.io

SSRF

8.2

查看详情

CVE-2026-48765

typebot.io

Authorization Bypass

9.9

查看详情

CVE-2026-48766

typebot.io

Sensitive Data Exposure

7.6

查看详情

CVE-2026-48767

typebot.io

Sensitive Data Exposure

7.6

查看详情

CVE-2026-45296

OpenReplay

Improper Access Control

7.7

查看详情

CVE-2026-46372

SillyTavern

SSRF

8.5

查看详情

CVE-2026-45260

pimcore

Missing Authorization

8.1

查看详情

CVE-2026-41235

froxlor

Incorrect Authorization

8.8

查看详情

CVE-2026-41236

froxlor

Link Following

8.8

查看详情

CVE-2026-43984

Tautulli

Stored XSS

8.9

查看详情

CVE-2026-43985

Tautulli

CSRF

8.8

查看详情

CVE-2026-43986

Tautulli

SSRF

9.9

查看详情

CVE-2026-54091

filebrowser

Incorrect Authorization

7.5

查看详情

CVE-2026-50279

craftcms

Improper Authorization

6.5

查看详情

CVE-2026-50280

craftcms

Improper Access Control

6.5

查看详情

0x03 更新介绍

fix: persist uploaded ZIP project sources for worker audits (97ce141) docs: update acknowledgements in README (f1b96c2) docs: update architecture design (bfff54f)

0x04 使用介绍

📦安装与使用指南

无需克隆仓库,一行命令即可启动:

Linux / macOS / Git Bash :

curl -fsSL https://raw.githubusercontent.com/larlarua/AutoCVE/v1.0.4/docker-compose.prod.yml \ | docker compose -f - up -d

Windows PowerShell / CMD :

curl.exe -fsSL https://raw.githubusercontent.com/larlarua/AutoCVE/v1.0.4/docker-compose.prod.yml | docker compose -f - up -d

🛠️ 源码部署

适用于本地开发、功能调试或二次开发:

cd AutoCVEdocker compose up -d --build

🌐 服务访问

服务启动完成后,可通过以下地址访问:

服务访问地址用途
🖥️ 前端http://localhost:3000AutoCVE 用户界面
⚙️ 后端 APIhttp://localhost:8000后端接口服务
📘 Swaggerhttp://localhost:8000/docsAPI 文档与接口调试
🗄️ Adminerhttp://localhost:8080数据库管理

Tip快速体验完整审计流程

配置模型 → 导入项目 → 创建审计任务 → 跟踪实时审计 → 管理漏洞 →编辑或导出报告

🏆 CVE 挖掘成果

AutoCVE 在为期一周的测试中,共发现并提交了30 个安全漏洞,覆盖14 个开源项目

点击表格中的 CVE 编号可查看官方记录,完整漏洞报告收录于larlarua/vulnerability-reports

下载

《渗透安全HackTwo》回复20260707获取下载

http://www.jsqmd.com/news/1146143/

相关文章:

  • RPG Maker Decrypter终极指南:轻松解密RPG游戏加密资源的完整教程
  • Dism++ Windows系统优化终极指南:3个步骤让电脑重获新生
  • Windows 10/11终极指南:轻松解决PL2303芯片驱动兼容性问题
  • OpenWrt Turbo ACC网络加速深度解析:解锁路由器性能的终极方案
  • 为什么临床前实验优先选用ICR小鼠动物模型?_MedChemExpress (MCE)
  • 144、SIoU 引入角度惩罚的 YOLOv11 代码实现:四阶段距离度量的完整计算
  • SQLyog 与 Navicat 下载安装全攻略:从零开始快速上手两大 MySQL 图形化工具
  • 5分钟搞定微信QQ防撤回:不再错过任何重要消息
  • codex: command not found 2026年全平台修复指南
  • 通达信缠论量化插件:5分钟快速掌握专业级技术分析的完整指南
  • 077、HAT模型精讲:混合注意力Transformer在超分中的创新设计与实现
  • 影刀RPA CRM客户管理:销售线索自动分配与跟进
  • Power BI 数据科学集成:R/Python 脚本实现3类高级可视化(附代码)
  • Redis 分布式锁|从青铜到钻石的五种演进方案
  • OTA项目回顾(三)-BLE
  • 2026微博视频去水印方法教程:合规途径与第三方工具风险解析
  • Three.js 内发光教程
  • Docker 进阶笔记(存储 + 镜像分层 + 数据卷|纠错 + 案例 + 注释版)
  • 如何快速构建个人数字图书馆:小说下载器的完整指南
  • 5分钟快速上手:如何用ChemBERTa化学AI模型加速药物研发 [特殊字符]
  • 零成本打造专业域名邮箱:Cloudflare + Gmail 终极配置保姆级全攻略
  • day12
  • 2026最新实测:什么八字排盘软件好用?第三方测评拆到排盘底层
  • 2026微博图片去水印工具教程:免费在线电脑手机通用方法
  • 用 Ace Data Cloud 快速接入 Luma AI 视频生成 API
  • QRazyBox终极指南:免费开源二维码修复工具,轻松恢复损坏的二维码
  • 伯恩斯坦多项式SDF:让控制屏障函数真正感知几何不确定性
  • 2026年河北标书撰写,专业团队如何助您脱颖而出?
  • Minecraft 1.21终极中文体验:如何快速掌握Masa模组全家桶汉化完整指南
  • Three.js 跳动的心教程