2026-06-20 04:42:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章提出安全审计Agent应从单纯报漏洞转向可证明的真实漏洞验证，核心是建立白盒发现、黑盒验证、证据门控的闭环体系。关键创新在于设置可报告性门槛和真实漏洞证明门，要求漏洞必须明确回答攻击者身份、操作、影响等七要素。新架构通过候选分流、恶意操作建模、证据链构建等能力，显著提升报告质量，推动安全服务从人力交付向能力产品化转型。 综合评分： 85 文章分类： 安全建设,安全工具,安全运营,解决方案,漏洞分析

cover_image

安全审计 Agent 不能只要“报漏洞”，而要证明漏洞

原创

陆吾安全陆吾安全

陆吾安全

2026年6月17日 13:31 江苏

在小说阅读器读本章

去阅读

过去几年，AI 在安全领域的应用经历了几个明显阶段。

第一阶段，是让 AI 帮我们读代码、总结函数、解释框架逻辑。
第二阶段，是让 AI 像静态扫描器一样，在代码中寻找 SQL 注入、XSS、SSRF、越权、文件读取等风险点。
第三阶段，也就是现在真正值得讨论的阶段，是让 AI 不再只是“发现可疑点”，而是进一步判断：

这个问题到底是不是一个真实漏洞？攻击者是否真的能完成一个未授权操作？这个操作是否产生了可观察、可复现、可证明的安全影响？这背后对应的是一种新的安全审计 Agent 架构：白盒发现、黑盒验证、证据门控、知识库沉淀的闭环审计体系。

一、行业真正缺的不是“发现更多疑点”，而是“证明更少但更真实的漏洞”

安全行业长期存在一个矛盾：工具越强，噪音越多。SAST 能发现大量危险函数、字符串拼接、输入流向；DAST 能发现大量异常响应、状态码差异、路径暴露；AI 加入之后，问题变得更加明显：它很擅长联想，也很擅长把“安全相关现象”包装成“潜在漏洞”。

例如：

用户存在性枚举；版本号暴露；README 文件可访问；某个 API 路径存在；登录接口没有账户锁定；某段代码看起来可能有注入；某个参数名像是 user_id，可能越权。

这些现象在安全视角下当然“有趣”，但它们未必值得进入正式漏洞报告。真正高质量的审计结果，不应该是“我发现了很多可能的问题”，而应该是：我证明了攻击者可以在某个合理权限下，通过某组可复现操作，完成一个本不应该允许的动作，并产生明确影响。

这就是新型安全审计 Agent 与传统 AI 扫描器的核心区别。它不以“疑似漏洞数量”为目标，而以“可证明的真实漏洞”为目标。

二、新架构的核心：从 Finding Agent 变成 Proof Agent

传统 AI 审计经常是这样的流程：读代码 → 找危险模式 → 生成漏洞报告这个流程最大的问题是：中间缺少验证层。它会把“代码味道”“潜在风险”“理论可能性”直接推到报告层，导致报告里出现大量低价值内容。

新的架构应该改成：白盒发现 → 候选分流 → 黑盒验证 → 真实漏洞证明门 → 报告生成 → 知识库沉淀

这里最关键的是中间的两个门：

第一道门：Reportability Gate，可报告性门槛。

它判断一个问题是否值得报告。

第二道门：Exploit Proof Gate，真实漏洞证明门。

它判断一个问题是否已经被证明为真实漏洞。

换句话说，AI 不再直接问：

“这里有没有安全问题？”

而是问：

“攻击者到底完成了什么未授权操作？这个操作的前后状态是什么？结果是否可观察？是否突破了安全边界？”

如果回答不了这些问题，这个问题就不能进入正式报告。

三、真实漏洞的标准：不是代码有问题，而是攻击者完成了什么

在这个架构里，“真实漏洞”需要被重新定义。一个问题要成为真实漏洞，至少需要回答七个问题：

攻击者是谁？

是未登录用户、普通用户、低权限管理员，还是同租户用户？

攻击入口在哪里？

是哪个接口、哪个页面、哪个任务、哪个上传点、哪个回调逻辑？

攻击者能控制什么？

是参数、Header、文件内容、URL、JSON 字段、对象 ID，还是业务状态？

攻击者实际做了什么？

是读取、修改、删除、创建、绕过、执行、转账，还是跨租户访问？

攻击目标是什么？

是其他用户数据、管理员功能、内部服务、敏感配置，还是系统命令？

攻击后产生了什么结果？

是否返回了数据？是否修改了状态？是否生成了记录？是否执行了动作？

突破了哪条安全边界？

是身份认证边界、权限边界、租户边界、数据隔离边界，还是系统执行边界？

只有这些问题能被清楚回答，漏洞才有资格进入正式报告。这意味着，很多传统报告里的“疑似风险”会被降级：

“接口存在”不是漏洞；“用户是否存在可判断”通常不是漏洞；“可能存在越权”不是漏洞；“代码看起来可能注入”不是漏洞；“危险函数被调用”也不是漏洞。

真正的漏洞必须是：攻击者完成了本不应该完成的操作。

四、白盒和黑盒不再割裂：白盒负责发现方向，黑盒负责证明结果

传统渗透测试更多是黑盒测试，从外部入口出发。测试人员通过页面、接口、参数、业务流程不断试探系统边界。这种方式贴近真实攻击，但问题是覆盖率有限。复杂系统里，大量权限判断、数据流转、异步任务、内部调用、对象关系并不容易从黑盒角度看见。

白盒审计正好相反。它能看到代码、路由、权限中间件、ORM 查询、对象关系、配置逻辑、业务分支。但白盒的问题是容易陷入“理论风险”：代码看起来危险，不等于外部攻击者真的能触达；某个函数存在风险，不等于输入真的可控；某个分支缺少检查，不等于业务路径能走到那里。

新型 Agent 架构要做的，不是选择白盒或黑盒，而是让二者形成闭环：

白盒发现攻击假设黑盒验证攻击路径白盒解释根因黑盒证明影响最终由证据门控决定是否报告

例如，白盒发现某个订单查询接口只按order_id查询，没有绑定当前用户。Agent 不应该立刻报告“疑似 IDOR”。它应该继续构造验证目标：

攻击者账号&nbsp;A；受害者账号&nbsp;B；B&nbsp;创建订单；A&nbsp;请求&nbsp;B&nbsp;的订单 ID；如果&nbsp;A&nbsp;成功读取订单详情，则进入真实漏洞；如果接口被鉴权层拦截，则降为误报；如果需要特殊状态但暂时无法构造，则进入边界提示或继续验证。

这就是从“漏洞猜测”到“漏洞证明”的转变。

五、这种 Agent 的核心能力，不是扫描，而是判断

很多人容易把安全Agent理解成“更聪明的扫描器”。这是低估了它的价值。真正有行业影响力的安全 Agent，核心能力不是发现，而是判断。它至少需要具备五类能力。

候选漏洞分流能力

它要能区分：

真实漏洞；候选风险；安全观察；低价值噪音；已证伪误报；环境阻塞问题。

例如，存在性枚举默认不应该直接报告。除非它可以被批量利用，枚举对象具有高敏属性，或者能与密码喷洒、弱重置流程、OTP爆破组成攻击链。否则，它应该进入 observation，而不是 finding。

真实恶意操作建模能力

它必须能把漏洞转化成一句话：

攻击者以什么身份，对什么目标，完成了什么未授权操作。

例如：

“普通用户&nbsp;A&nbsp;通过修改 order_id，成功读取用户&nbsp;B&nbsp;的订单详情。”

这比“存在 IDOR 漏洞”更重要。漏洞类型只是标签，恶意操作才是安全影响。

证据链构建能力

每个真实漏洞都应该有：

攻击前状态攻击者操作攻击后结果安全边界突破实际影响

没有前后状态对比，就很难证明影响。

自我降噪能力

Agent 必须知道什么不该报。这依赖负样本知识库：

用户存在性枚举单独不报；README/LICENSE 可访问通常不报；普通版本号泄露通常不报；只有代码模式没有可控输入不报；管理员权限下的正常危险操作不报；没有实际效果的“可能漏洞”不报。

这类负样本，和正向漏洞模式一样重要。

审计知识沉淀能力

传统渗透测试的经验往往停留在个人脑中。一个成熟的 Agent 架构应该把每次审计结果沉淀成三类知识：

positive_patterns：真实漏洞模式negative_patterns：常见误报和低价值现象verification_recipes：白盒疑点如何转成黑盒验证

这会让系统越审越准，而不是每次从零开始。

六、相比传统渗透测试，它的优势在哪里？

覆盖面更高

传统渗透测试受时间、入口、测试人员经验影响很大。复杂系统中的内部权限判断、异步任务、对象关系、隐藏接口，很容易被遗漏。

Agent可以从代码结构、路由、调用链、数据模型、权限中间件同时切入，先建立更完整的攻击面地图。它不是替代人的直觉，而是减少人的盲区。

审计过程可复用

传统渗透测试的很多经验是隐性的。同一个测试人员知道某类系统容易在哪些地方出问题，但这些经验很难稳定传递给另一个人。

Agent 架构可以把经验变成规则、配方和知识库：

某类越权如何验证；某类 SSRF 如何证明；某类任意文件读取如何确认边界；某类用户枚举为什么不该报告；某类高危为什么必须有实际操作结果。

这会让安全审计从“专家手艺”逐渐变成“专家系统”。

报告质量更稳定

传统报告常见问题是：同一个问题，不同人写出来的深度差异很大。

新架构通过强制字段约束报告质量：

攻击者模型；入口；受影响资产；实际恶意操作；攻击前后状态；安全边界；业务影响；修复建议；为什么不是误报。

这会显著提升报告的一致性和可交付质量。

更适合持续安全

传统渗透测试通常是项目制、周期制。上线前测一次，重大版本测一次，合规要求测一次。但现代软件变化太快。代码每天变，接口每天变，权限逻辑每天变，依赖每天变。

Agent 更适合嵌入 CI/CD 和研发流程：

代码变更 → 自动审计 → 生成候选 → 自动验证 → 高可信问题进入人工复核

它把安全审计从一次性活动，变成持续工程能力。

七、它的劣势和边界也必须讲清楚

任何新技术只讲优势，都是不负责任的。这种 Agent 架构也有明显边界。

它依赖测试环境质量

如果系统无法启动，依赖缺失，账号数据不完整，外部服务不可用，Agent 很难完成黑盒验证。没有可运行环境，很多问题只能停留在候选阶段。所以未来的安全 Agent，不只是一个“读代码工具”，还要求企业具备更好的测试环境、种子数据、权限账号和可观测能力。

它不擅长高度依赖业务语境的问题

有些漏洞不是靠代码模式就能理解的。

例如：

优惠券套利；复杂风控绕过；财务审批流程缺陷；供应链履约漏洞；多角色协作绕过；业务规则与合同条款不一致。

这些问题往往需要行业知识、业务知识和真实运营经验。Agent 可以辅助建模，但不能完全替代资深业务安全人员。

它仍然需要人工定责和复核

Agent 可以证明“这个操作能成功”，但严重程度、业务影响、披露方式、修复优先级，仍然需要人判断。安全不是单纯技术问题。它还涉及资产价值、业务场景、攻击成本、合规要求和组织风险偏好。

过度自动化可能带来新的风险

如果 Agent 被允许在真实环境中自动执行高风险操作，它本身就会成为风险源。因此，成熟的架构必须强调：

授权测试；沙箱环境；无破坏性验证；操作白名单；速率限制；审计日志；人工审批；高危动作禁用。

安全 Agent 的目标不是让 AI “自由攻击系统”，而是在授权边界内完成可控、可审计、可复现的验证。

八、行业影响：安全服务会从“人力交付”走向“能力产品化”

这种架构真正改变的，不只是一个工具，而是安全服务的生产方式。过去，安全服务高度依赖人。客户买的是测试人员的时间、经验和报告。未来，客户更可能买的是一套持续运行的能力：

持续理解代码持续发现候选持续验证影响持续沉淀知识持续输出高质量报告

这会对行业产生几个明显影响。

低质量报告会越来越没有价值

过去一些报告靠数量堆叠：十几个低危、几十个信息泄露、几个“疑似风险”，看起来很丰富。但在 Agent 时代，这种报告会迅速贬值。

因为客户会越来越关注：

“这个漏洞到底能造成什么实际后果？”

而不是：

“这个问题属于什么漏洞类型？”

安全团队会更重视验证工程

未来好的安全团队，不只是会挖洞，还要会设计验证环境、构造测试数据、定义安全边界、沉淀验证配方。谁能把漏洞证明流程工程化，谁就能获得更稳定的交付能力。

甲方会更容易建立内部安全知识库

很多企业长期做安全测试，但知识沉淀很弱。每次换供应商、换团队、换人员，很多经验都会丢失。Agent 架构天然要求把审计过程结构化：

哪些是真漏洞；哪些是误报；哪些是业务边界；哪些验证失败；哪些需要人工确认；哪些模式在本企业反复出现。

这会让企业安全能力从“项目经验”变成“组织资产”。

安全专家的价值不会消失，但会迁移

传统安全专家的价值，部分来自手工测试能力。未来这部分会被工具和 Agent 部分自动化。但专家的价值不会消失，而是迁移到更高层：

定义漏洞标准；设计验证策略；判断业务影响；建立知识库；审查 Agent 结论；处理复杂攻击链；制定修复优先级；把安全能力嵌入研发流程。

换句话说，未来的安全专家，不只是“漏洞发现者”，更是“安全验证体系的设计者”。

九、我认为真正的分水岭：是否具备“证据门控”

未来会出现很多安全 Agent。但它们之间的差距，不在于谁能发现更多“疑似漏洞”，而在于谁能更准确地决定：什么不该报告。

一个成熟的安全 Agent，必须具备克制能力。它应该敢于说：

这是 observation，不是漏洞；这是 hypothesis，还没验证；这是&nbsp;false&nbsp;positive，已有权限控制；这是 blocked，环境不足；这是 confirmed exploitable，可以报告。

这背后的核心是证据门控。

没有实际恶意操作，不报告。没有攻击前后状态，不报告。没有安全边界突破，不报告。没有可观察影响，不报告。只有“可能、疑似、看起来”，不报告。

这会让安全报告从“风险列表”升级为“证据文档”。所以AI 安全审计的下一站，应该是可证明性

AI能更快读代码，更快写报告，更快整理测试思路。但下一波价值不是更快，而是更准。真正有价值的安全 Agent，不应该追求“多报”，而应该追求“少报但报准”。它应该把每一个进入报告的问题，都变成一个可以回答清楚的问题：

攻击者是谁？攻击入口是什么？攻击者做了什么？目标是谁？结果是什么？突破了什么边界？造成了什么实际影响？

当这些问题都有明确答案时，漏洞才真正成立。这也是我认为未来安全审计 Agent 最重要的方向：不是替代渗透测试人员，而是把优秀渗透测试人员的判断标准、验证路径和报告质量，工程化、结构化、可复用化。最终，行业会从“发现漏洞”走向“证明漏洞”。而能完成这一转变的 Agent，才是真正有价值的安全 Agent。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陆吾安全陆吾安全陆吾安全《安全审计 Agent 不能只要“报漏洞”，而要证明漏洞》