一、大型科技公司推出的AI安全研究智能体
1. OpenAI Aardvark(土豚)
- 由GPT-5驱动的"代理型安全研究员"
- 能持续分析源代码仓库,识别安全漏洞、评估可利用性、确定风险等级,并提出修复方案
- 在基准测试中成功识别出92%的已知与人工注入漏洞
- 已发现多个真实开源项目中的关键问题,包括十个获得CVE编号的高危漏洞
2. 腾讯Argusee
- 多智能体协同架构,模拟安全团队分工协作
- 在对Linux USB协议栈源码测试中,发现了自Linux 6.5版本引入的高危漏洞CVE-2025-37891
- 已获得稳定提权至root权限的利用脚本
3. 腾讯啄木鸟团队AI猎手
- 基于混元大模型打造的自动漏洞挖掘工具
- 7*24小时自动感知、追踪、挖掘0day漏洞
- 在Github高star项目上斩获10+0day漏洞
二、学术研究机构开发的AI漏洞挖掘系统
4. 南京大学与悉尼大学A2系统
- 专门针对安卓应用的AI研究框架
- 通过"智能体漏洞发现"和"智能体漏洞验证"两阶段模拟人类专家分析过程
- 已发现57个安卓APP未知漏洞
5. 阿里云BYOVD驱动漏洞挖掘系统
- 利用大模型自动化挖掘BYOVD(自带漏洞驱动)漏洞
- 结合IDA Pro与MCP协议构建逆向工具箱
- 已成功发现并验证10+个真实存在的BYOVD漏洞,包括CVE-2025-42706等多个CVE编号漏洞
6. 中科星图Wisdom-Lens
- 基于大语言模型智能体的自动化漏洞挖掘系统
- 实现从项目分析→目标识别→Harness生成→模糊测试→崩溃分析→报告生成的全流程闭环
- 效率相比传统方法提升超百倍
7. 复旦大学AgentFuzz与AgentDoS
- AgentFuzz:专门检测智能体系统中的注入类漏洞,发现34个此前未知的高风险漏洞
- AgentDoS:检测智能体资源耗尽类漏洞,发现36个此前未知的高风险漏洞
- 相关成果已被USENIX Security、BlackHat EU等顶级会议接收
8. 德州农工大学FuzzingBrain系统
- 在DARPA人工智能网络挑战赛(AIxCC)中获得第四名
- 自主发现28个安全漏洞,包括6个零日漏洞,并成功修复其中14个
- 整个系统已开源
三、商业化AI安全工具
9. NVIDIA Garak
- 专为大语言模型设计的开源漏洞扫描与安全评估工具
- 支持检测提示注入、数据泄露、错误信息生成、恶意代码输出等多种LLM弱点
- 兼容Hugging Face、OpenAI、Replicate、Cohere、NIM等主流模型平台
10. Scan-X v6.0
- AI全自动漏扫工具平台,深度集成JSSS-Find接口自动化测试工具
- 实现从JS资产发现→API智能分析→功能/漏洞测试→报告生成的全链路自动化
- 协调Kali平台近20款工具协同工作,通过AI理解自然语言指令自动规划攻击路径
11. Corgea BLAST
- AI驱动的业务逻辑应用测试平台
- 利用先进的AI和上下文分析,发现传统扫描器和人工审查漏掉的漏洞
- 提供自动化代码修复功能
其他商业工具还包括:
- Apiiro:实现全栈风险智能分析
- Mend.io:覆盖软件团队面临的全谱风险
- 雳鉴IAST 4.0 AI版:基于AI大模型加持的交互式应用安全检测工具
- 海云安高敏捷AI白盒(SCAP++):将AI与静态代码分析深度融合
四、突破性成果
全球首例AI自主发现满分RCE漏洞
- 2025年12月,网络安全机构pwn.ai披露了由自治AI智能体独立发现的CVE-2025-54322漏洞
- 该漏洞以CVSS 10分满分评级,标志着AI正从"辅助分析工具"迈入"自主漏洞发现者"新阶段
这些AI agent和工具的共同特点是能够模拟人类安全研究员的工作流程,包括代码分析、威胁建模、漏洞验证、修复建议生成等环节,部分系统甚至实现了从漏洞发现到修复的完整闭环。随着技术的不断发展,AI在网络安全领域的应用正从辅助工具向自主安全研究员演进。