从源代码到漏洞清单,全程零人工干预-未来已来

admin
admin
admin
0
文章
0
评论
2026-06-20 05:13:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 点星是一套端到端AI自动化代码安全审计系统,能够通过语义级理解自主挖掘传统工具难以发现的深层漏洞(如零权限RCE),并完成从发现到验证的全流程。系统采用漏洞猎人挑战赛机制,通过公开漏洞哈希表和奖金悬赏接受社区检验,但出于安全考量暂不公开技术实现细节。 综合评分: 85 文章分类: 漏洞分析,AI安全,安全工具,代码审计,安全运营

cover_image

从源代码到漏洞清单,全程零人工干预-未来已来

YNsec YNsec

YNsec安全实验室

2026年6月19日 01:46 湖北

在小说阅读器读本章

去阅读

点击蓝字

关注我们

01

DianXing (点星)

这是什么

点星是一套 端到端 AI 自动化代码安全审计系统。上传源代码,系统自主完成漏洞挖掘与验证,输出精准的结构化漏洞清单 — 全程零人工干预,仅需单次运行。

点星不是规则扫描器。 它不依赖正则匹配或已知 CVE 模式,而是通过 AI 对代码进行语义级理解,发现认证绕过、越权访问、业务逻辑缺陷等 传统 SAST 工具无法触及的深层漏洞。

在实测中,点星已展现出令团队自身都感到警惕的能力边界 — 它能够 自主挖掘零权限 RCE 漏洞并完成从发现到远程控制服务器的完整攻击链验证,全程无需任何人工干预。部分被发现的漏洞已在目标项目中存在数年,历经无数次传统扫描工具的检测却从未被触及。

传统

02

为什么不公开技术实现

这种级别的自动化漏洞挖掘能力一旦被无门槛释放,后果不堪设想 — 它不再需要攻击者具备安全专业知识,任何人只需上传一份源代码,就能获得一份可直接用于攻击的高危漏洞清单。这不是假设性风险,而是我们已经在靶机上反复验证过的现实能力。

正如 Anthropic 因安全考量选择不公开 Mythos 模型的完整能力,而是通过 Project Glasswing 与全球机构合作定向防御 — 我们同样选择不公开核心实现,转而通过可验证的审计数据和公开挑战赛来建立信任。 能力越强大,释放越需要克制。

我们选择怎么做

Dragon Boat Festival

公开数据,封存实现。 以下所有数据均来自点星系统对真实开源项目的实际审计产出,可独立验证。

我们还发起了 ⚔️ 漏洞猎人挑战赛 — 提前公开漏洞哈希表,用真金白银悬赏遗漏,以最直接的方式接受社区检验。

漏洞猎人挑战赛

我们提前公开漏洞哈希表,用真金白银悬赏遗漏 — 如果你能找到我们没发现的高危漏洞,奖金归你。

我们对系统的深层漏洞发现能力有充分信心 — 现在,我们把这份信心放到台面上接受检验。如果有我们未发现的漏洞,我们同样欢迎 — 每一个遗漏都是推动产品能力继续深化的真实反馈。

🔄 挑战机制

  1. 团队公开审计目标 — 每轮由团队公开一个已完成审计的开源项目
  2. 漏洞哈希提前公开 — 审计完成后,每个漏洞描述分别计算 SHA-256 哈希,在挑战窗口开放前 提前发布至本仓库,利用 Git commit 的不可篡改时间戳作为存证
  3. 开放挑战 — 哈希表发布后开放挑战窗口,任何人均可提交其发现的漏洞

漏洞描述原文 → SHA-256 → 0x7a3f…b2c1 → Git commit 存证(含时间戳)

提交方式

  • 💬 公开提交:在本仓库 Discussion 区发帖(仅描述漏洞类型与影响,不含利用细节),仓库地址:https://github.com/tianchong-zerotemp/dianxing
  • 🔒 私密提交:发送至 [email protected](适用于不宜公开的漏洞)

挑战规则

Dragon Boat Festival

匹配判定与奖励

点星是 漏洞审计工具,其产出为独立的漏洞点位发现(代码缺陷定位),而非完整的利用链组装。利用链编排属于万破平台的另一条产品线。因此匹配判定分为三级:

为什么区分”组件覆盖”与”完全未覆盖”? 一个漏洞利用链通常由多个独立的代码缺陷串联而成。审计工具的职责是发现每一个缺陷点位 — 如果利用链中的各组件均已被独立覆盖,说明审计能力完整,只是利用链组合(攻击编排)属于不同的安全能力域

完整赛制详见https://github.com/tianchong-zerotemp/dianxing/blob/main/CHALLENGE.md

Dragon Boat Festival

后续点星正式版发布,本公众号将同步送出邀请码和积分,届时欢迎在后台私信关键词“联系方式”获取邀请码

本次漏洞赏金赛采用奖池累减制,第一位提交并验证成功的师傅将独揽奖池的三分之一,祝各位师傅在这端午佳节收获满满

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:YNsec安全实验室 YNsec YNsec《从源代码到漏洞清单,全程零人工干预-未来已来》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0