AI漏洞情报代理：将CVE转化为可操作的安全报告

CVE AI Agent是一个自主运行的漏洞情报引擎，专为安全运营中心（SOC）级别的可审计漏洞情报而设计。它能够持续从权威来源（如NVD、CISA KEV、EPSS）获取最新的漏洞数据，根据用户配置的风险阈值评估每个CVE，并将AI生成的威胁评估推送到用户选择的工作流程中。

该代理的独特之处在于其令牌高效架构。与传统AI代理将原始数据“转储”到LLM不同，CVE AI Agent使用确定性最小化逻辑来过滤噪音。提示词被严格修剪至约1000个令牌（约4000个字符），从而节省API使用成本、计算资源和减少延迟。代理仅发送相关元数据、参考信息和CVE特定上下文，消除了导致幻觉的“上下文窗口噪音”。

代理遵循严格的两遍架构。第一遍（确定性）：所有可测量数据——包括CVSS、EPSS、KEV状态、CWE、MITRE ATT&CK映射、CAPEC——从API和策划数据集中提取，完全不涉及LLM。产品名称通过加固的正则表达式启发式方法推导。第二遍（LLM丰富）：LLM仅填充明确标记的定性部分（执行摘要、影响、检测、补救、升级、CWE分析），使用确定性上下文作为基础。如果LLM不可用，代理会生成高可见性的失败通知和“纯静态”报告，以保证审计透明度。

在输出方面，CVE AI Agent支持多种集成方式。它可以通过Slack发送包含PDF和JSON文件附件的警报消息，或通过Webhook发送纯文本警报。它还支持创建包含PDF附件的Jira工单、向n8n发送完整JSON负载、向Splunk HEC发送结构化事件，以及自动导出PDF报告到本地目录。此外，代理还提供了一个基于Flask和Waitress的Web仪表盘，可通过http://localhost:8080访问。

代理的重新检查功能是一大亮点。它包含一个自动化重新检查工作流，当权威信号（如NVD、EPSS、CISA KEV或补丁状态）发生变化时，会定期重新评估先前处理的CVE。重新检查管理器执行低成本的第一遍获取，与上次存储的快照进行差异比较，然后根据变化程度决定是写入新快照、记录变化还是以增量模式触发现有管道。重新检查的阈值（如CVSS阈值、EPSS增量阈值）可在配置文件中独立设置。

配置方面，代理支持多种LLM提供商，包括Google Gemini、OpenAI、Anthropic Claude、Groq以及本地运行的Ollama。用户可以通过环境变量或配置文件设置API密钥。代理会按顺序尝试配置的模型列表，在失败时回退到下一个模型。如果所有模型都失败，则会回退到基于规则的报告（无LLM部分）。

总的来说，CVE AI Agent为安全团队提供了一个强大而高效的漏洞情报自动化工具，通过智能过滤和两遍架构，在降低成本和噪音的同时，提供了高质量的威胁评估。其灵活的集成和重新检查功能使其能够适应动态的安全环境。