前言最近我做了一个项目叫AutoCVE。它的目标很直接把 CVE 挖掘这件事从“筛项目、导仓库、跑工具、审源码、验漏洞、写报告、提交 CVE”这一整套流程尽可能自动化。安全研究人员只需设置目标 CVE 数量系统便会持续筛选项目并执行审计直至挖掘出指定数量、具备完整利用链且符合 CVE 申报条件的高质量漏洞。在为期一周的测试中AutoCVE 共发现并拿到了30个 CVE 编号覆盖14 个开源项目最高 CVSS 漏洞评分达9.9全程无人工参与或核验。为什么做 AutoCVE经历过“古法挖洞”时代的老白帽应该都清楚传统 CVE 挖掘流程极其繁琐且耗时。筛选适合审计的开源项目配置并运行 SAST 工具完成第一轮漏洞扫描并过滤大量误报。→从 Sink 点追溯 Source 点分析数据流、调用链和过滤逻辑并编写 PoC 验证漏洞。→整理英文漏洞报告、CVE 描述、影响范围、修复建议、PoC 和复现过程。随着模型能力持续提升AI 对代码的理解也越来越深入“古法挖洞”正逐渐沦为非遗。越来越多的安全研究人员开始使用 AI 挖掘漏洞各类智能审计项目与安全 Skill 也层出不穷。然而工具越多用户的筛选和验证成本反而越高。几乎每个项目都宣称能够挖掘 CVE但实际效果仍需要用户亲自寻找项目并反复测试有些工具在靶场中表现不错面对真实项目时却效果有限连续审计多个项目没有发现漏洞时也很难判断究竟是工具能力不足还是项目筛选不当即使发现了大量问题其中真正符合 CVE 申报条件的高价值漏洞也可能寥寥无几。目前仍缺少一个专门针对 CVE 挖掘场景进行优化并真正打通落地“最后一公里”的项目。因此我开发了 AutoCVE将这一系列流程全部交给 Agent 自动化完成01自动筛选项目 → 02自动导入仓库 → 03自动创建任务 → 04多 Agent 协同审计 → 05自动验证漏洞 → 06自动生成报告用户只需输入期望挖掘的 CVE 数量等待任务执行完成最后复制生成的报告内容并提交即可。核心能力AutoCVE 不是一个简单的扫描器而是一个面向 CVE 挖掘场景设计的 Multi-Agent 审计平台。一键完成 CVE 挖掘实现从项目筛选、仓库导入、审计任务创建、Agent 漏洞挖掘到 CVE 申报报告生成的全流程自动化。用户仅需复制报告内容并提交即可完成后续 CVE 申请。Multi-Agent 协同审计通过 Orchestrator 统一调度 Recon、Scan、Triage、Finding 和 Verification 等 Agent协同完成信息收集、工具扫描、误报过滤、漏洞深挖与动态验证。工作流如下Recon识别项目语言、框架、入口文件和优先审计路径Scan调用 Semgrep、Bandit 等工具做规则扫描Triage过滤误报补充证据Finding直接阅读源码构造攻击链挖掘高价值漏洞Verification通过沙箱和 PoC 动态验证漏洞其中Finding Agent 是 AutoCVE 的核心审计能力专为 CVE 挖掘场景设计。它可直接分析项目源码并结合 ReAct Loop、专项工具调用、Nudge 纠偏及 FinalizeFinding 结构化终止机制最终产出符合 CVE 申报条件的高价值漏洞。TipsFinding Agent核心组件及架构设计详情参考ARCHITECTURE_DESIGN.md第七节三种审计模式AutoCVE 当前支持三种审计模式可根据不同的审计目标选择合适的审计模式交互式审计与全过程追踪支持用户交互将完整审计过程作为会话上下文用户可围绕审计结果继续追问让 Agent 补充证据、解释攻击链、完善复现步骤或扩展漏洞分析。可以展开查看工具调用详情可以输入 $ 显示调用Skill如果未指定模型会根据任务自动匹配适合的Skill可视化审计追踪集中展示活动日志、Agent Tree、工具调用、阶段进度、初步报告和审计会话方便复盘每次审计的执行路径与关键过程。智能化漏洞管理审计发现的漏洞由 Agent 调用工具自动提交经过去重后以结构化形式入库并在漏洞管理模块中统一维护。AutoCVE 的漏洞报告会由 Agent 调用 FinalizeVulnerabilityReports 自动结构化生成包含Summary、Details、PoC、Impact、Remediation、Disclosure Notes、Affected products、CVSS、CWE、Suggested CVE description 等字段可直接复制用于从Github Advisory提交漏洞报告如下所示专属 Skills 配置支持根据实际需求为不同 Agent 配置专属 Skills灵活扩展各 Agent 的能力边界。CVE成果展示完整漏洞报告GitHub - larlarua/vulnerability-reports · GitHubCVE 编号项目漏洞类型CVSS漏洞内容CVE-2026-40904ChartbrewImproper Access Control8.1查看详情CVE-2026-40603ChartbrewImproper Access Control6.5查看详情CVE-2026-40601ChartbrewMissing Authorization7.5查看详情CVE-2026-40600ChartbrewImproper Access Control8.1查看详情CVE-2026-40595ChartbrewImproper Access Control7.5查看详情CVE-2026-42181LemmySSRF6.5查看详情CVE-2026-42180LemmySSRF6.3查看详情CVE-2026-7290JeecgBootSQL Injection6.3查看详情CVE-2026-7291o2oaSSRF6.3查看详情CVE-2026-7292o2oaRCE5.6查看详情CVE-2026-7303xxl-jobImproper Access Control3.7查看详情CVE-2026-7305xxl-jobSSRF6.3查看详情CVE-2026-7306xxl-jobHard-coded Key5.6查看详情CVE-2026-40610BentoMLLink Following5.5查看详情CVE-2026-48763typebot.ioMissing Authorization8.2查看详情CVE-2026-48764typebot.ioSSRF8.2查看详情CVE-2026-48765typebot.ioAuthorization Bypass9.9查看详情CVE-2026-48766typebot.ioSensitive Data Exposure7.6查看详情CVE-2026-48767typebot.ioSensitive Data Exposure7.6查看详情CVE-2026-45296OpenReplayImproper Access Control7.7查看详情CVE-2026-46372SillyTavernSSRF8.5查看详情CVE-2026-45260pimcoreMissing Authorization8.1查看详情CVE-2026-41235froxlorIncorrect Authorization8.8查看详情CVE-2026-41236froxlorLink Following8.8查看详情CVE-2026-43984TautulliStored XSS8.9查看详情CVE-2026-43985TautulliCSRF8.8查看详情CVE-2026-43986TautulliSSRF9.9查看详情CVE-2026-54091filebrowserIncorrect Authorization7.5查看详情CVE-2026-50279craftcmsImproper Authorization6.5查看详情CVE-2026-50280craftcmsImproper Access Control6.5查看详情AutoCVE相关文档入口功能使用手册USER_GUIDE.md架构设计文档ARCHITECTURE_DESIGN.md功能演示demoDEMO.gif项目链接GitHub 项目地址https://github.com/larlarua/AutoCVEAutoCVE 目前仍在持续迭代中希望通过这个项目探索 Agent 在自动化 CVE 挖掘和代码安全审计中的更多可能。欢迎 Star、Issue 和 PR也欢迎安全研究人员、开发者和 Agent 爱好者一起交流。
DLSS Swapper完整指南:如何智能管理游戏DLSS版本提升性能 DLSS Swapper完整指南:如何智能管理游戏DLSS版本提升性能 【免费下载链接】dlss-swapper 项目地址: https://gitcode.com/GitHub_Trending/dl/dlss-swapper DLSS Swapper是一款免费开源的工具,专门用于智能管理游戏中的DLSS、FSR和XeSS动态链接库…
DLSS Swapper完整实战指南:三步解锁游戏性能新境界 DLSS Swapper完整实战指南:三步解锁游戏性能新境界 【免费下载链接】dlss-swapper 项目地址: https://gitcode.com/GitHub_Trending/dl/dlss-swapper 还在为高配置电脑跑不动新游戏而困惑?明明拥有强力显卡,却总在关键时刻遭遇帧率骤…
呆滞库存分析怎么做?从库龄、金额、责任来源拆开看库存! 做制造的、做贸易的、管仓库的,对库存盘点肯定都不陌生。但有一种库存,很特殊。它平时不声不响,却每天都在吞噬企业利润。你以为它是资产,实际上,它每天都在贬值,每天都在产生仓储、管理和资金占用成本。等…
Ctool:一站式开发工具箱,让编码效率提升300%的终极解决方案 Ctool:一站式开发工具箱,让编码效率提升300%的终极解决方案 【免费下载链接】Ctool 程序开发常用工具 chrome / edge / firefox / utools / windows / linux / mac 项目地址: https://gitcode.com/gh_mirrors/ct/Ctool 在程序开发过程中ÿ…
WarcraftHelper:魔兽争霸III终极优化插件完全指南 WarcraftHelper:魔兽争霸III终极优化插件完全指南 【免费下载链接】WarcraftHelper Warcraft III Helper , support 1.20e, 1.24e, 1.26a, 1.27a, 1.27b 项目地址: https://gitcode.com/gh_mirrors/wa/WarcraftHelper 还在为经典魔兽争霸III在现代电脑上的各…
工业信号采集:FOD4216光耦与PIC24FJ单片机实战方案 1. 工业信号采集的挑战与核心需求 在电机控制、PLC系统或自动化产线等工业场景中,信号采集的准确性直接关系到设备控制精度与系统稳定性。我曾参与过一个纺织机械改造项目,车间里变频器、大功率电机和继电器产生的电磁干扰,导致传统的模拟信号…
OpenClaw本地Agent部署与Windows深度集成指南 1. OpenClaw不是“另一个ChatUI”,它是本地Agent生态的启动器OpenClaw这个词最近三个月在技术社区的搜索量翻了四倍,但绝大多数人点开GitHub仓库后第一反应是:“这不就是个带Skill管理的前端?”——这种理解偏差,恰恰是…
2026年AI写作论文工具哪家强?实测PaperRed vs ChatGPT vs 豆包,学生党必看避坑指南 一句话答案:2026年实测对比发现,PaperRed在论文写作专业性、格式规范性和学术合规性上全面领先ChatGPT和豆包,是学生写论文的首选AI工具。一、为什么传统AI写论文总是翻车?很多学生在用AI写论文时都踩过这些坑:• 用Ch…
Unity WebGL部署Apache Tomcat:MIME配置、Gzip压缩与缓存优化实战 1. 项目概述:当Unity WebGL遇上Apache Tomcat如果你是一名Unity开发者,想把精心制作的WebGL游戏或应用部署到自己的服务器上,那么Apache Tomcat大概率是你绕不开的一环。这不仅仅是把一堆构建出来的文件扔进一个文件夹那么简单。我见过太多项…
掌握Docker多阶段构建镜像优化技巧 掌握Docker多阶段构建镜像优化技巧在容器化技术日益普及的今天,Docker已成为开发与运维领域的基石工具。然而,随着应用复杂度提升,构建出的Docker镜像体积庞大、层数繁多、安全性欠佳等问题逐渐凸显,直接影响着部署效率、传输速度…
Ansible的AWX与作业模板调度 在当今快速迭代的IT运维与开发领域,自动化已成为提升效率、保障一致性的核心支柱。Ansible作为一款强大的IT自动化工具,以其无代理、简单易用的特点广受欢迎。而AWX,作为Ansible上游项目提供的企业级Web界面、API及任务引擎,则将A…
3步彻底解决Windows右键菜单混乱问题:ContextMenuManager使用全攻略 3步彻底解决Windows右键菜单混乱问题:ContextMenuManager使用全攻略 【免费下载链接】ContextMenuManager 🖱️ 纯粹的Windows右键菜单管理程序 项目地址: https://gitcode.com/gh_mirrors/co/ContextMenuManager 你是否曾为Windows右键菜单中那些…
GXDE OS下Wayland兼容性实战:从deepin-mutter原理到VMware Tools修复 如果你正在用 GXDE OS 或者任何基于 Deepin 的发行版,并且遇到了“检测到窗口系统采用 Wayland 协议,程序即将退出”这类弹窗,或者发现 VMware Tools 在 Ubuntu 24.04 这类默认 Wayland 的系统上启动失败,那这篇文章就是为你准备的…
企业AI落地困境与AgenticOps实践指南 1. 企业AI落地的现实困境与破局之道过去两年,大模型技术呈现爆发式增长,从GPT-3到GPT-4,从LLaMA到DeepSeek,模型参数规模从百亿级跃升至万亿级,多模态能力从单一文本扩展到图文音视频的综合处理。然而在企业应用层面&a…
[C++]内存管理:串顺序存储的内存回收 在串(字符串)的顺序存储中,内存回收的方式取决于字符串的存储方式以及所使用的编程语言和相关库。以下以 C 为例进行说明,因为 C 对内存管理有较为直接的控制。 1. 基于 char 数组的串顺序存储 如果使用普通的 char 数组来存储字…
移动端游戏功耗测试实战:电流、功率、亮度和场景对比 移动端游戏功耗测试:先控制变量,再比较优化是否真的省电 摘要:功耗测试最容易犯的错误,是拿两次不同温度、不同亮度、不同场景的平均功率直接比较。本文给出一套可复现的游戏功耗测试方法,覆盖引擎特性验证、版本回归和黑盒体验测试,并说明如何把功耗与帧率、温控、CPU/G…
足球口袋教练 HarmonyOS 离线应用实战(03/20):ArkUI 首页仪表盘搭建 本文是“足球口袋教练 HarmonyOS 离线应用实战”系列第 3 篇。示例项目是一个 HarmonyOS / ArkTS / ArkUI 编写的离线足球训练助手,围绕真实页面、真实截图和可复现操作展开。 本篇要解决的问题 训练 App 的首页不能只展示欢迎语,它要解决“我现在该点哪…