AutoCVE是一款基于多Agent协同的全流程自动化CVE挖掘与源码审计系统
0x01 工具介绍AutoCVE是一款基于多Agent协同的全流程自动化CVE挖掘与源码审计系统依托智能调度与ReAct循环机制融合多模式审计能力可自动完成项目筛查、漏洞挖掘、验证研判与报告生成。实测表现亮眼可在一周内挖掘30个合规高危漏洞覆盖多款主流开源项目大幅降低人工挖洞成本高效助力安全研究与漏洞申报工作。注意现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨核心能力 一键完成 CVE 挖掘实现从项目筛选、仓库导入、审计任务创建、Agent 漏洞挖掘到 CVE 申报报告生成的全流程自动化。用户仅需复制报告内容并提交即可完成后续 CVE 申请。 Multi-Agent 协同审计通过 Orchestrator 统一调度 Recon、Scan、Triage、Finding 和 Verification 等 Agent协同完成信息收集、工具扫描、误报过滤、漏洞深挖与动态验证。 三种审计模式根据不同审计目标灵活选择增强扫描、智能审计或综合审计兼顾扫描效率、挖掘深度与审计覆盖范围。审计模式核心 Agent适用场景⚡增强扫描Scan → Triage快速分析工具扫描结果并过滤误报智能审计Finding深度挖掘高价值漏洞适用于 CVE 和 0Day 研究综合审计Scan → Triage Finding融合工具扫描与源码分析开展全量审计 面向 CVE 挖掘的专用 AgentFinding Agent 是 AutoCVE 的核心审计能力专为 CVE 挖掘场景设计。它可直接分析项目源码并结合 ReAct Loop、专项工具调用、Nudge 纠偏及FinalizeFinding结构化终止机制最终产出符合 CVE 申报条件的高价值漏洞。 交互式审计与全过程追踪支持用户交互将完整审计过程作为会话上下文用户可围绕审计结果继续追问让 Agent 补充证据、解释攻击链、完善复现步骤或扩展漏洞分析。可视化审计追踪集中展示活动日志、Agent Tree、工具调用、阶段进度、初步报告和审计会话方便复盘每次审计的执行路径与关键过程。️ 智能漏洞管理与 Skills 扩展智能化漏洞管理审计发现的漏洞由 Agent 调用工具自动提交经过去重后以结构化形式入库并在漏洞管理模块中统一维护。专属 Skills 配置支持根据实际需求为不同 Agent 配置专属 Skills灵活扩展各 Agent 的能力边界。成果明细30CVE 编号项目漏洞类型CVSS漏洞内容CVE-2026-40904ChartbrewImproper Access Control8.1查看详情CVE-2026-40603ChartbrewImproper Access Control6.5查看详情CVE-2026-40601ChartbrewMissing Authorization7.5查看详情CVE-2026-40600ChartbrewImproper Access Control8.1查看详情CVE-2026-40595ChartbrewImproper Access Control7.5查看详情CVE-2026-42181LemmySSRF6.5查看详情CVE-2026-42180LemmySSRF6.3查看详情CVE-2026-7290JeecgBootSQL Injection6.3查看详情CVE-2026-7291o2oaSSRF6.3查看详情CVE-2026-7292o2oaRCE5.6查看详情CVE-2026-7303xxl-jobImproper Access Control3.7查看详情CVE-2026-7305xxl-jobSSRF6.3查看详情CVE-2026-7306xxl-jobHard-coded Key5.6查看详情CVE-2026-40610BentoMLLink Following5.5查看详情CVE-2026-48763typebot.ioMissing Authorization8.2查看详情CVE-2026-48764typebot.ioSSRF8.2查看详情CVE-2026-48765typebot.ioAuthorization Bypass9.9查看详情CVE-2026-48766typebot.ioSensitive Data Exposure7.6查看详情CVE-2026-48767typebot.ioSensitive Data Exposure7.6查看详情CVE-2026-45296OpenReplayImproper Access Control7.7查看详情CVE-2026-46372SillyTavernSSRF8.5查看详情CVE-2026-45260pimcoreMissing Authorization8.1查看详情CVE-2026-41235froxlorIncorrect Authorization8.8查看详情CVE-2026-41236froxlorLink Following8.8查看详情CVE-2026-43984TautulliStored XSS8.9查看详情CVE-2026-43985TautulliCSRF8.8查看详情CVE-2026-43986TautulliSSRF9.9查看详情CVE-2026-54091filebrowserIncorrect Authorization7.5查看详情CVE-2026-50279craftcmsImproper Authorization6.5查看详情CVE-2026-50280craftcmsImproper Access Control6.5查看详情0x03 更新介绍fix: persist uploaded ZIP project sources for worker audits (97ce141) docs: update acknowledgements in README (f1b96c2) docs: update architecture design (bfff54f)0x04 使用介绍安装与使用指南无需克隆仓库一行命令即可启动Linux / macOS / Git Bash :curl -fsSL https://raw.githubusercontent.com/larlarua/AutoCVE/v1.0.4/docker-compose.prod.yml \ | docker compose -f - up -dWindows PowerShell / CMD :curl.exe -fsSL https://raw.githubusercontent.com/larlarua/AutoCVE/v1.0.4/docker-compose.prod.yml | docker compose -f - up -d️ 源码部署适用于本地开发、功能调试或二次开发cd AutoCVEdocker compose up -d --build 服务访问服务启动完成后可通过以下地址访问服务访问地址用途️ 前端http://localhost:3000AutoCVE 用户界面⚙️ 后端 APIhttp://localhost:8000后端接口服务 Swaggerhttp://localhost:8000/docsAPI 文档与接口调试️ Adminerhttp://localhost:8080数据库管理Tip快速体验完整审计流程配置模型 → 导入项目 → 创建审计任务 → 跟踪实时审计 → 管理漏洞 →编辑或导出报告 CVE 挖掘成果AutoCVE 在为期一周的测试中共发现并提交了30 个安全漏洞覆盖14 个开源项目。点击表格中的 CVE 编号可查看官方记录完整漏洞报告收录于larlarua/vulnerability-reports。下载《渗透安全HackTwo》回复20260707获取下载

相关新闻

你的SEO排名再高也挡不住AI搜索的降维打击

你的SEO排名再高也挡不住AI搜索的降维打击

某B2B企业市场总监打开Google Search Console。过去半年,官网SEO流量稳步上涨。核心关键词"制造业MES系统"排到了搜索结果第一页。团队付出的心血有了回报。但同一周,他发现了一个让人后背发凉的趋势。越来越多用户不再点击搜索结果。他们直接…

2026/7/8 6:46:59阅读更多 →
直付通二级商户的“信任杠杆”:用好一级方的背书效应

直付通二级商户的“信任杠杆”:用好一级方的背书效应

在商业合作中,有一种无形的力量常常被低估,那就是“信任杠杆”。简单来说,就是当你与一个本身就值得信任的主体建立合作关系时,这种信任会自动辐射到你身上,让你在与第三方打交道时更容易获得认可。对于二级直付通商户…

2026/7/8 6:46:59阅读更多 →
构建GWAS数据整合管道:3种方法打通分析工具壁垒

构建GWAS数据整合管道:3种方法打通分析工具壁垒

构建GWAS数据整合管道:3种方法打通分析工具壁垒 【免费下载链接】gwasglue Linking GWAS data to analytical tools in R 项目地址: https://gitcode.com/gh_mirrors/gw/gwasglue 在基因组关联研究(GWAS)数据分析的工作流中&#xff0…

2026/7/8 6:46:59阅读更多 →
为什么你需要这个PowerShell脚本:Windows下iPhone USB网络共享的终极解决方案

为什么你需要这个PowerShell脚本:Windows下iPhone USB网络共享的终极解决方案

为什么你需要这个PowerShell脚本:Windows下iPhone USB网络共享的终极解决方案 【免费下载链接】Apple-Mobile-Drivers-Installer Powershell script to easily install Apple USB and Mobile Device Ethernet (USB Tethering) drivers on Windows! 项目地址: http…

2026/7/8 7:47:19阅读更多 →
Codex、Cursor、各类 AI 编程工具通用!一站式聚合全球大模型 API 中转 CatRouter.Net

Codex、Cursor、各类 AI 编程工具通用!一站式聚合全球大模型 API 中转 CatRouter.Net

1. Catrouter.Net聚合全球500主流大模型,全品类覆盖 平台整合海内外全系列主流大模型,编程代码模型、通用对话模型、图像生成、多模态模型一应俱全。无需同时注册多家服务商,仅一套统一API地址即可调用全部模型,切换仅修改模型名称…

2026/7/8 7:47:19阅读更多 →
威海医护人员评职称需要满足哪些基本条件?2026年最新政策解读

威海医护人员评职称需要满足哪些基本条件?2026年最新政策解读

威海医护人员评职称需要满足学历资历、专业能力、继续教育、科研成果等多方面基本条件,具体标准依据山东省2025年7月发布的《山东省卫生系列高级职称评价标准条件》执行。一、学历与资历要求 根据山东省卫生健康委员会2025年8月19日发布的《山东省卫生系列高级职称评…

2026/7/8 7:47:19阅读更多 →
3分钟完成Windows苹果驱动安装:iPhone网络共享终极解决方案

3分钟完成Windows苹果驱动安装:iPhone网络共享终极解决方案

3分钟完成Windows苹果驱动安装:iPhone网络共享终极解决方案 【免费下载链接】Apple-Mobile-Drivers-Installer Powershell script to easily install Apple USB and Mobile Device Ethernet (USB Tethering) drivers on Windows! 项目地址: https://gitcode.com/g…

2026/7/8 7:47:19阅读更多 →
LeetCode 3754.连接非零数字并乘以其数字和 I:O(1)非字符串写法

LeetCode 3754.连接非零数字并乘以其数字和 I:O(1)非字符串写法

【LetMeFly】3754.连接非零数字并乘以其数字和 I:O(1)非字符串写法 力扣题目链接:https://leetcode.cn/problems/concatenate-non-zero-digits-and-multiply-by-sum-i/ 给你一个整数 n。 将 n 中所有的 非零数字 按照它们的原始顺序连接起来&#xff…

2026/7/8 7:47:18阅读更多 →
KMS智能激活脚本:5分钟解决Windows和Office永久激活问题

KMS智能激活脚本:5分钟解决Windows和Office永久激活问题

KMS智能激活脚本:5分钟解决Windows和Office永久激活问题 【免费下载链接】KMS_VL_ALL_AIO Smart Activation Script 项目地址: https://gitcode.com/gh_mirrors/km/KMS_VL_ALL_AIO 还在为Windows系统激活弹窗而烦恼吗?KMS_VL_ALL_AIO智能激活脚本…

2026/7/8 7:42:18阅读更多 →
从GitHub安全案例解析常见漏洞与防护实践

从GitHub安全案例解析常见漏洞与防护实践

1. 项目概述:从GitHub Trending看安全实战 最近在GitHub Trending上看到一个项目,叫 skills4/skills ,它因为一些安全漏洞案例被大家讨论。这其实是一个挺典型的场景:一个旨在展示或教授某种技能的仓库,本身却成了安…

2026/7/8 5:12:14阅读更多 →
MLT 2026启示:因果推理与概率建模驱动下一代LLM应用

MLT 2026启示:因果推理与概率建模驱动下一代LLM应用

# MLT 2026启示:因果推理与概率建模驱动下一代LLM应用## 一、背景与挑战:从“黑箱预测”到“可信推理”2026年6月,第7届机器学习与趋势国际会议(MLT 2026)将在悉尼召开。会议议程中,“因果与可解释机器学习…

2026/7/8 7:00:12阅读更多 →
通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御

通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御

1. 项目概述与漏洞背景最近在梳理一些历史OA系统的安全风险时,通达OA v11.6版本中的一个老漏洞又进入了我的视线。这个漏洞位于/general/bi_design/appcenter/report_bi.func.php文件中,是一个典型的SQL注入点。虽然这个漏洞的利用方式看起来并不复杂&am…

2026/7/8 2:26:06阅读更多 →
作为一个给团队打绩效的人,我想说几句

作为一个给团队打绩效的人,我想说几句

我每半年都会给团队成员打绩效,也会参与和 CTO 的绩效校准,所以从管理者的视角,说说这件事 首先,我先把结论告诉你:接受结果,但一定要把原因问清楚。 因为当绩效公布到你这里的时候,结果基本已…

2026/7/8 0:01:17阅读更多 →
A股股指期货:全维度解析(多表格结构化完整版)

A股股指期货:全维度解析(多表格结构化完整版)

一、基础定义与核心本质股指期货全称股票价格指数期货,是中国金融期货交易所(中金所)上市的标准化金融期货合约,交易标的为 A 股大盘指数,约定未来特定时间按约定价格现金交割指数涨跌差价,不交割一篮子股票…

2026/7/8 0:01:17阅读更多 →
iOS越狱新手指南:从困惑到掌控,3天解锁iPhone无限潜能的真实故事

iOS越狱新手指南:从困惑到掌控,3天解锁iPhone无限潜能的真实故事

iOS越狱新手指南:从困惑到掌控,3天解锁iPhone无限潜能的真实故事 【免费下载链接】Jailbreak iOS 26.4 - 26, 17 - 17.7.5 & iOS 18 - 18.7.3 Jailbreak Tools, Cydia/Sileo/Zebra Tweaks & Jailbreak News Updates || AI Jailbreak Finder &…

2026/7/8 0:01:17阅读更多 →
YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

如果你在部署 YOLOv8 时,发现推理速度只有可怜的 1-2 FPS,而别人的演示视频却能跑到 30 FPS 以上,那么问题很可能不在模型本身,而在于你的整个处理链路。很多开发者拿到一个训练好的 YOLOv8 模型后,会直接使用官方示例…

2026/7/8 6:59:54阅读更多 →
Coze与Dify对比指南:低代码AI应用开发从入门到实战

Coze与Dify对比指南:低代码AI应用开发从入门到实战

1. 从零到一:为什么你需要了解 Coze 和 Dify?如果你对 AI 应用开发感兴趣,但一看到“大模型”、“智能体”、“工作流”这些词就头疼,觉得门槛太高,那这篇文章就是为你准备的。很多开发者,包括我自己&#…

2026/7/7 5:11:21阅读更多 →
AI生图工具怎么选?2026年6月版实测对比

AI生图工具怎么选?2026年6月版实测对比

做自媒体的朋友应该都有体会:配图一直是个让人头疼的问题。2026年,AI生图工具已经非常成熟了,但工具太多反而不知道怎么选。以下是截至2026年6月我对主流AI生图工具的实测对比。Midjourney V8.1:速度之王2026年6月11日&#xff0c…

2026/7/7 5:11:21阅读更多 →