AI脆弱性インテリジェンスエージェント：CVEを実用的なセキュリティレポートに変換

CVE AI Agentは、自律型の脆弱性インテリジェンスエンジンであり、SOC（セキュリティ運用センター）レベルの監査可能な脆弱性インテリジェンス向けに設計されています。NVD、CISA KEV、EPSSなどの信頼できるソースから最新の脆弱性データを継続的に取得し、設定されたリスクしきい値に基づいて各CVEを評価し、AIが生成した脅威評価を選択したワークフローにプッシュします。

本エージェントの特徴は、トークン効率の高いアーキテクチャにあります。従来のAIエージェントが生データをLLMに「ダンプ」するのとは異なり、CVE AI Agentは決定論的最小化ロジックを使用してノイズを除去します。プロンプトは厳密に約1,000トークン（約4,000文字）に抑えられ、API使用コスト、計算リソース、レイテンシを節約します。エージェントは関連するメタデータ、参照情報、CVE固有のコンテキストのみを送信し、幻覚を引き起こす「コンテキストウィンドウノイズ」を排除します。

エージェントは厳格な2パスアーキテクチャに従います。パス1（決定論的）：CVSS、EPSS、KEVステータス、CWE、MITRE ATT&CKマッピング、CAPECなど、すべての測定可能なデータをAPIとキュレーションデータセットから抽出します。LLMは一切関与しません。製品名は強化された正規表現ヒューリスティックを使用して導出されます。パス2（LLMエンリッチメント）：LLMは、決定論的コンテキストをグラウンディングとして、明示的にマークされた定性的セクション（エグゼクティブサマリー、影響、検出、修復、エスカレーション、CWE分析）のみを埋めます。LLMが利用できない場合、エージェントは高視認性の障害通知と「純粋な静的」レポートを生成し、監査の透明性を確保します。

出力面では、CVE AI Agentは複数の統合方法をサポートしています。SlackではPDFおよびJSONファイルの添付を含むアラートメッセージを送信するか、Webhookを介してテキストのみのアラートを送信できます。また、PDF添付付きのJiraチケット作成、n8nへの完全なJSONペイロード送信、Splunk HECへの構造化イベント投稿、ローカルディレクトリへのPDFレポート自動エクスポートなどが可能です。さらに、FlaskとWaitressに基づくWebダッシュボードも提供され、http://localhost:8080 からアクセスできます。

エージェントの再チェック機能も特筆すべき点です。NVD、EPSS、CISA KEV、またはパッチステータスなどの権威あるシグナルが変化した際に、以前に処理したCVEを定期的に再評価する自動再チェックワークフローを備えています。再チェックマネージャーは低コストのレイヤー1のみの取得を実行し、最後に保存されたスナップショットと差分を比較し、変化の程度に応じて新しいスナップショットの書き込み、変化のログ記録、またはデルタモードでの既存パイプラインのトリガーを行います。再チェックのしきい値（CVSSしきい値、EPSSデルタしきい値など）は設定ファイルで独立して設定できます。

設定面では、Google Gemini、OpenAI、Anthropic Claude、Groq、およびローカル実行可能なOllamaなど、複数のLLMプロバイダをサポートしています。APIキーは環境変数または設定ファイルで設定できます。エージェントは設定されたモデルリストを順に試行し、失敗した場合は次のモデルにフォールバックします。すべてのモデルが失敗した場合、ルールベースのレポート（LLMセクションなし）にフォールバックします。

全体的に、CVE AI Agentはセキュリティチームに強力で効率的な脆弱性インテリジェンス自動化ツールを提供します。インテリジェントなフィルタリングと2パスアーキテクチャにより、コストとノイズを削減しながら、高品質な脅威評価を実現します。柔軟な統合と再チェック機能により、動的なセキュリティ環境に適応できます。