文章总结： 文档介绍了Praetorian推出的CVE研究员多智能体系统，该系统通过四阶段流水线自动化处理漏洞研究，涵盖信息搜集、资产匹配、Nuclei模板生成及攻击分析。系统采用多模型协作与演员-评论家循环确保质量，旨在替代重复劳动，让安全人员专注于高价值判断，提升安全运营效率与响应速度。 综合评分： 84 文章分类： AI安全,漏洞分析,安全工具,安全运营,实战经验

AI智能体如何自动化CVE漏洞研究

幻泉之洲

2026年3月6日 09:07 北京

Praetorian推出的“CVE研究员”是一个基于多智能体的人工智能流水线，它能彻夜工作，自动完成漏洞研究的全部流程——从信息收集、技术侦查，到生成Nuclei检测模板、分析攻击利用手法。这篇文章拆解了背后由四个阶段构成的复杂技术架构，并探讨了它对安全团队工作模式的改变：把重复性劳动交给AI，让人专注于需要判断与创造力的高价值工作。

不简单的自动化

把一份CVE公告塞给ChatGPT，让它写个检测规则，这不叫自动化，这叫偷懒。真正的自动化，是把一个资深安全研究员面对新漏洞时那一整套思考、搜索、验证和产出动作全部拆解，然后交给一个分工明确的AI团队去执行。

CVE研究员就是这么干的。它不是一个单一的、笨重的大模型，而是一个构建在谷歌Agent开发套件（ADK）上的多智能体协调系统。它把漏洞研究拆成四个专业环节，每个环节调用最擅长该任务的AI模型，最后给你一整套能直接上生产环境用的东西。

这背后是一个清晰的逻辑：现代AI架构已经能处理那些过去严重依赖专家经验的、复杂的多步骤安全工作了。

四阶段流水线：分工的艺术

CVE研究员的核心是下面这个四阶段流水线。关键思路不是让一个模型包打天下，而是把问题分解成适合不同模型能力的独立任务。

• 深度研究阶段

  用具备网页搜索能力的模型（如OpenAI的o4-mini-deep-research）去搜集信息。

• 模板生成阶段

  用经过代码训练的模型来写检测规则。

• 评估阶段

  用逻辑推理能力强的模型来评审和迭代。

这种分解让每个智能体都能发挥其所长。

深度研究：AI如何当侦探

研究智能体是流水线的信息入口。它的工作很像一个刚拿到漏洞编号的安全分析师。它会打开搜索引擎，同时查询NVD数据库、厂商公告、安全研究员的博客文章和PoC代码库。

这个过程不总是顺利的。一次完整的搜索、阅读和综合可能要花10到15分钟，有时主模型会超时或触发速率限制。系统为此设计了自动回退机制：如果主要模型不行，就换用GPT-5（推理版），虽然搜索深度可能打折扣，但保证了流水线不中断。

最终，它会产出一份详尽的研究报告，内容涵盖漏洞摘要、受影响产品和版本、已知利用技术、检测指标和修复指南。这相当于为后续所有工作打下了一个扎实的事实基础。

技术侦查：从CVE到你的资产

拿到一份漏洞报告只是开始。NVD里的CVE数据是通用的，但它不会自动告诉你“这个漏洞关我什么事”。

技术侦查智能体的任务就是填补这个鸿沟。它会从前一步的研究报告中，提取出结构化的技术检测需求：

• 主要受影响的技术（比如“Apache Log4j 2.x”）
• 可能暴露问题的相关技术支持
• 易受攻击的配置和部署模式
• 用于技术指纹识别的指标

接下来，它会把这些需求跟Praetorian Guard平台上发现的客户环境实际资产去做匹配。这个过程分四步：

1. 发现

   查询平台，找出客户部署了哪些技术。

2. 关联

   将受CVE影响的技术与发现的资产进行比对。

3. 提取

   从CPE字符串中解析出厂商和产品标识，以便精准搜索。

4. 整合

   在现有的Nuclei模板库中搜索已验证的检测模式。

这个阶段的终极目标，就是回答那个最关键的问题：“我的哪些资产可能受这个漏洞影响？”

核心中的核心：演员-评论家循环

漏洞检测模板的生成是流水线最复杂的部分。它用上了一组子智能体和一个迭代式的“演员-评论家”循环。

过程是这样的：

首先，检测计划生成器智能体会根据研究报告，制定一个有结构的检测策略。写清楚要测试哪些HTTP请求模式，匹配哪些响应指标，以及如何避免误报。

接着，Nuclei检测智能体按照这个计划生成初始模板。但这还没完，系统不会采纳第一个输出。每个模板都要经过多道验证：

1. 语法验证

   检查YAML结构和Nuclei模式合规性。

2. 模板修复智能体

   用AI把上一步发现的语法错误、模式违规和结构问题都给修正了。

3. 再次验证

   确认问题都已解决。

4. 安全情报提取

   从攻击角度分析模板。

然后，评论家智能体登场。它评估输出质量并提供迭代反馈。这个从强化学习借鉴来的“演员-评论家”模式，让系统能够渐进式地提升模板质量，而不是接受可能有缺陷的初版。

这个反馈循环至关重要。当评论家智能体找到一个生成模板的问题时，它会提供具体的反馈，传回给Nuclei智能体重新生成。这个循环会一直持续，直到模板通过验证，或者达到最大迭代次数。

实际跑下来，大部分模板需要2到3轮迭代才能达到生产质量。多花的这点处理时间，换来的是更可靠的产出。

攻击视角：模拟对手思维

检测智能体的目标是发现易受攻击的系统，而漏洞利用智能体负责从攻击者的角度看问题。

这个智能体会分析：攻击者会怎么实际利用这个漏洞？具体用什么方法、载荷和工具？成功利用后能获得什么？这个漏洞有没有可能和其他漏洞组合成攻击链？

它基于那份全面的研究报告，产出利用指导，帮安全团队理解真实世界的风险。这种攻击视角确保了检测模板瞄准的是对手真正会用的攻击模式，而不仅仅是理论上的指标。

价值所在：你睡觉时，AI在工作

这个流水线的终点不是生成模板就完了。对于那些网络攻击路径明确、CVSS评分9.0以上的关键漏洞，系统会自动做下面几件事：

• 向Praetorian的Nuclei模板仓库发起一个拉取请求。
• 生成一张待人工复核批准的工单。
• 把产出物复制到标准化的输出目录，供下游系统使用。

结果就是：当半夜爆出一个高危漏洞，安全工程师早上来到公司时，会发现基础工作已经全部就绪。研究报告和漏洞分析已经写好了。检测模板生成并验证过了。拉取请求已经打开等着你审阅。工单就摆在那儿，上下文一应俱全。

这才是关键。这改变了安全团队分配时间的方式。工程师们不用再埋头于重复性的研究和模板编写，可以把精力集中在更有价值的工作上：运用领域知识为自家环境定制检测规则，进行更深层的威胁分析，调查自动化可能遗漏的边缘情况，去推进那些在疲于应付响应性任务时总是被延后的主动安全项目。

流水线处理的是量和速度；人提供的是只有经验丰富的从业者才具备的判断力、创造力和情境理解力。

为什么用多个AI模型？

这个流水线利用了OpenAI、谷歌和Anthropic的模型，为每个任务选择最合适的工具。

• 研究阶段受益于有网页搜索能力的模型。
• 代码生成任务利用技术训练强的模型。
• 评估和批评阶段选用推理能力优化的模型。

而且，当主要模型遇到速率限制或超时时，每个智能体都可以回退到备用模型，这确保了即使在高负载下，流水线依然可靠。

这种多供应商策略既避免了被单一厂商锁定，又能在整个工作流中综合优化成本、速度和能力。

实战中的经验

构建CVE研究员的过程中，我们得到了一些对复杂AI自动化项目通用的经验：

• 分解胜过一锅炖

  把问题拆分成专门的智能体，比搞一个庞然大物效果好得多。每个智能体可以独立优化、测试和改进。

• 回退机制必须有

  生产系统一定会遇到速率限制、超时和模型退化。优雅地回退到备用模型，是保证流水线可靠性的关键。

• 迭代比一次性生成强

  “演员-评论家”循环产出的模板，质量稳定高于一次性生成。为了生产级输出，多花点时间值得。

• 人的监督依旧关键

  自动化搞定的是量和速度。但关于部署优先级和修复策略的最终决策，还是得靠人来做判断。

它不是替代，而是增强

CVE研究员展示的是多智能体AI系统如何攻克复杂的安全工作流。通过把漏洞研究分解成专业阶段，协调多个AI模型，并实施迭代优化，这条流水线实现了一种增强人类专业能力，而非取代人类的自动化。

它的真正价值，在于把安全专家从信息过载和重复劳动中解放出来，让他们去做那些只有人才能做好的事。这才是AI在安全领域应该扮演的角色。

一些常见疑问

这个系统用哪些AI模型？

流水线用了OpenAI、谷歌和Anthropic的模型，按任务选最合适的。研究阶段用有搜索能力的（如OpenAI深度研究模型）。代码生成用技术训练强的。评估和批评用擅长推理的。每个智能体都有备用模型，防止主模型出问题。

“演员-评论家”循环怎么提升质量？

简单说就是不采纳AI生成的第一个版本。每个模板都要走一遍“验证-反馈”循环。评论家智能体评估后，给生成智能体具体的修改意见，让它重写。这个过程通常要来回2到3次，能抓住一次性生成会漏掉的语法错误、模式问题和误报风险。

它会取代安全分析师吗？

不会。它自动化的是CVE研究中那些量大、重复的部分——收集情报、生成初始检测模板、汇总利用指南。所有产出最后还是需要人工审核，工程师要根据具体环境定制检测规则，做部署决策，并进行那些需要情境判断的深度威胁分析。AI搭台，人唱戏。

（参考资料链接：Praetorian Guard平台[1]，联系Praetorian团队[2]）

参考资料

[1] https://www.praetorian.com/products/guard/

[2] https://www.praetorian.com/contact/

[3] https://www.praetorian.com/blog/how-ai-agents-automate-cve-vulnerability-research/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《AI智能体如何自动化CVE漏洞研究》