AI漏洞情報代理：將CVE轉化為可操作的安全報告

CVE AI Agent是一個自主執行的漏洞情報引擎，專為安全運營中心（SOC）級別的可審計漏洞情報而設計。它能夠持續從權威來源（如NVD、CISA KEV、EPSS）獲取最新的漏洞資料，根據使用者配置的風險閾值評估每個CVE，並將AI生成的威脅評估推送到使用者選擇的工作流程中。

該代理的獨特之處在於其令牌高效架構。與傳統AI代理將原始資料“轉儲”到LLM不同，CVE AI Agent使用確定性最小化邏輯來過濾噪音。提示詞被嚴格修剪至約1000個令牌（約4000個字元），從而節省API使用成本、計算資源和減少延遲。代理僅傳送相關後設資料、參考資訊和CVE特定上下文，消除了導致幻覺的“上下文視窗噪音”。

代理遵循嚴格的兩遍架構。第一遍（確定性）：所有可測量資料——包括CVSS、EPSS、KEV狀態、CWE、MITRE ATT&CK對映、CAPEC——從API和策劃資料集中提取，完全不涉及LLM。產品名稱透過加固的正規表示式啟發式方法推導。第二遍（LLM豐富）：LLM僅填充明確標記的定性部分（執行摘要、影響、檢測、補救、升級、CWE分析），使用確定性上下文作為基礎。如果LLM不可用，代理會生成高可見性的失敗通知和“純靜態”報告，以保證審計透明度。

在輸出方面，CVE AI Agent支援多種整合方式。它可以透過Slack傳送包含PDF和JSON檔案附件的警報訊息，或透過Webhook傳送純文本警報。它還支援建立包含PDF附件的Jira工單、向n8n傳送完整JSON負載、向Splunk HEC傳送結構化事件，以及自動匯出PDF報告到本地目錄。此外，代理還提供了一個基於Flask和Waitress的Web儀表盤，可透過http://localhost:8080訪問。

代理的重新檢查功能是一大亮點。它包含一個自動化重新檢查工作流，當權威訊號（如NVD、EPSS、CISA KEV或補丁狀態）發生變化時，會定期重新評估先前處理的CVE。重新檢查管理器執行低成本的第一遍獲取，與上次儲存的快照進行差異比較，然後根據變化程度決定是寫入新快照、記錄變化還是以增量模式觸發現有管道。重新檢查的閾值（如CVSS閾值、EPSS增量閾值）可在配置檔案中獨立設定。

配置方面，代理支援多種LLM提供商，包括Google Gemini、OpenAI、Anthropic Claude、Groq以及本地執行的Ollama。使用者可以透過環境變數或配置檔案設定API金鑰。代理會按順序嘗試配置的模型列表，在失敗時回退到下一個模型。如果所有模型都失敗，則會回退到基於規則的報告（無LLM部分）。

總的來說，CVE AI Agent為安全團隊提供了一個強大而高效的漏洞情報自動化工具，透過智慧過濾和兩遍架構，在降低成本和噪音的同時，提供了高質量的威脅評估。其靈活的整合和重新檢查功能使其能夠適應動態的安全環境。