AI漏洞情報代理：將CVE轉化為可操作的安全報告

CVE AI Agent是一個自主運行的漏洞情報引擎，專為安全運營中心（SOC）級別的可審計漏洞情報而設計。它能夠持續從權威來源（如NVD、CISA KEV、EPSS）獲取最新的漏洞數據，根據用户配置的風險閾值評估每個CVE，並將AI生成的威脅評估推送到用户選擇的工作流程中。

該代理的獨特之處在於其令牌高效架構。與傳統AI代理將原始數據“轉儲”到LLM不同，CVE AI Agent使用確定性最小化邏輯來過濾噪音。提示詞被嚴格修剪至約1000個令牌（約4000個字符），從而節省API使用成本、計算資源和減少延遲。代理僅發送相關元數據、參考信息和CVE特定上下文，消除了導致幻覺的“上下文窗口噪音”。

代理遵循嚴格的兩遍架構。第一遍（確定性）：所有可測量數據——包括CVSS、EPSS、KEV狀態、CWE、MITRE ATT&CK映射、CAPEC——從API和策劃數據集中提取，完全不涉及LLM。產品名稱通過加固的正則表達式啓發式方法推導。第二遍（LLM豐富）：LLM僅填充明確標記的定性部分（執行摘要、影響、檢測、補救、升級、CWE分析），使用確定性上下文作為基礎。如果LLM不可用，代理會生成高可見性的失敗通知和“純靜態”報告，以保證審計透明度。

在輸出方面，CVE AI Agent支持多種集成方式。它可以通過Slack發送包含PDF和JSON文件附件的警報消息，或通過Webhook發送純文本警報。它還支持創建包含PDF附件的Jira工單、向n8n發送完整JSON負載、向Splunk HEC發送結構化事件，以及自動導出PDF報告到本地目錄。此外，代理還提供了一個基於Flask和Waitress的Web儀表盤，可通過http://localhost:8080訪問。

代理的重新檢查功能是一大亮點。它包含一個自動化重新檢查工作流，當權威信號（如NVD、EPSS、CISA KEV或補丁狀態）發生變化時，會定期重新評估先前處理的CVE。重新檢查管理器執行低成本的第一遍獲取，與上次存儲的快照進行差異比較，然後根據變化程度決定是寫入新快照、記錄變化還是以增量模式觸發現有管道。重新檢查的閾值（如CVSS閾值、EPSS增量閾值）可在配置文件中獨立設置。

配置方面，代理支持多種LLM提供商，包括Google Gemini、OpenAI、Anthropic Claude、Groq以及本地運行的Ollama。用户可以通過環境變量或配置文件設置API密鑰。代理會按順序嘗試配置的模型列表，在失敗時回退到下一個模型。如果所有模型都失敗，則會回退到基於規則的報告（無LLM部分）。

總的來説，CVE AI Agent為安全團隊提供了一個強大而高效的漏洞情報自動化工具，通過智能過濾和兩遍架構，在降低成本和噪音的同時，提供了高質量的威脅評估。其靈活的集成和重新檢查功能使其能夠適應動態的安全環境。