0x01 工具介绍AutoCVE是一款基于多Agent协同的全流程自动化CVE挖掘与源码审计系统依托智能调度与ReAct循环机制融合多模式审计能力可自动完成项目筛查、漏洞挖掘、验证研判与报告生成。实测表现亮眼可在一周内挖掘30个合规高危漏洞覆盖多款主流开源项目大幅降低人工挖洞成本高效助力安全研究与漏洞申报工作。注意现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨核心能力 一键完成 CVE 挖掘实现从项目筛选、仓库导入、审计任务创建、Agent 漏洞挖掘到 CVE 申报报告生成的全流程自动化。用户仅需复制报告内容并提交即可完成后续 CVE 申请。 Multi-Agent 协同审计通过 Orchestrator 统一调度 Recon、Scan、Triage、Finding 和 Verification 等 Agent协同完成信息收集、工具扫描、误报过滤、漏洞深挖与动态验证。 三种审计模式根据不同审计目标灵活选择增强扫描、智能审计或综合审计兼顾扫描效率、挖掘深度与审计覆盖范围。审计模式核心 Agent适用场景⚡增强扫描Scan → Triage快速分析工具扫描结果并过滤误报智能审计Finding深度挖掘高价值漏洞适用于 CVE 和 0Day 研究综合审计Scan → Triage Finding融合工具扫描与源码分析开展全量审计 面向 CVE 挖掘的专用 AgentFinding Agent 是 AutoCVE 的核心审计能力专为 CVE 挖掘场景设计。它可直接分析项目源码并结合 ReAct Loop、专项工具调用、Nudge 纠偏及FinalizeFinding结构化终止机制最终产出符合 CVE 申报条件的高价值漏洞。 交互式审计与全过程追踪支持用户交互将完整审计过程作为会话上下文用户可围绕审计结果继续追问让 Agent 补充证据、解释攻击链、完善复现步骤或扩展漏洞分析。可视化审计追踪集中展示活动日志、Agent Tree、工具调用、阶段进度、初步报告和审计会话方便复盘每次审计的执行路径与关键过程。️ 智能漏洞管理与 Skills 扩展智能化漏洞管理审计发现的漏洞由 Agent 调用工具自动提交经过去重后以结构化形式入库并在漏洞管理模块中统一维护。专属 Skills 配置支持根据实际需求为不同 Agent 配置专属 Skills灵活扩展各 Agent 的能力边界。成果明细30CVE 编号项目漏洞类型CVSS漏洞内容CVE-2026-40904ChartbrewImproper Access Control8.1查看详情CVE-2026-40603ChartbrewImproper Access Control6.5查看详情CVE-2026-40601ChartbrewMissing Authorization7.5查看详情CVE-2026-40600ChartbrewImproper Access Control8.1查看详情CVE-2026-40595ChartbrewImproper Access Control7.5查看详情CVE-2026-42181LemmySSRF6.5查看详情CVE-2026-42180LemmySSRF6.3查看详情CVE-2026-7290JeecgBootSQL Injection6.3查看详情CVE-2026-7291o2oaSSRF6.3查看详情CVE-2026-7292o2oaRCE5.6查看详情CVE-2026-7303xxl-jobImproper Access Control3.7查看详情CVE-2026-7305xxl-jobSSRF6.3查看详情CVE-2026-7306xxl-jobHard-coded Key5.6查看详情CVE-2026-40610BentoMLLink Following5.5查看详情CVE-2026-48763typebot.ioMissing Authorization8.2查看详情CVE-2026-48764typebot.ioSSRF8.2查看详情CVE-2026-48765typebot.ioAuthorization Bypass9.9查看详情CVE-2026-48766typebot.ioSensitive Data Exposure7.6查看详情CVE-2026-48767typebot.ioSensitive Data Exposure7.6查看详情CVE-2026-45296OpenReplayImproper Access Control7.7查看详情CVE-2026-46372SillyTavernSSRF8.5查看详情CVE-2026-45260pimcoreMissing Authorization8.1查看详情CVE-2026-41235froxlorIncorrect Authorization8.8查看详情CVE-2026-41236froxlorLink Following8.8查看详情CVE-2026-43984TautulliStored XSS8.9查看详情CVE-2026-43985TautulliCSRF8.8查看详情CVE-2026-43986TautulliSSRF9.9查看详情CVE-2026-54091filebrowserIncorrect Authorization7.5查看详情CVE-2026-50279craftcmsImproper Authorization6.5查看详情CVE-2026-50280craftcmsImproper Access Control6.5查看详情0x03 更新介绍fix: persist uploaded ZIP project sources for worker audits (97ce141) docs: update acknowledgements in README (f1b96c2) docs: update architecture design (bfff54f)0x04 使用介绍安装与使用指南无需克隆仓库一行命令即可启动Linux / macOS / Git Bash :curl -fsSL https://raw.githubusercontent.com/larlarua/AutoCVE/v1.0.4/docker-compose.prod.yml \ | docker compose -f - up -dWindows PowerShell / CMD :curl.exe -fsSL https://raw.githubusercontent.com/larlarua/AutoCVE/v1.0.4/docker-compose.prod.yml | docker compose -f - up -d️ 源码部署适用于本地开发、功能调试或二次开发cd AutoCVEdocker compose up -d --build 服务访问服务启动完成后可通过以下地址访问服务访问地址用途️ 前端http://localhost:3000AutoCVE 用户界面⚙️ 后端 APIhttp://localhost:8000后端接口服务 Swaggerhttp://localhost:8000/docsAPI 文档与接口调试️ Adminerhttp://localhost:8080数据库管理Tip快速体验完整审计流程配置模型 → 导入项目 → 创建审计任务 → 跟踪实时审计 → 管理漏洞 →编辑或导出报告 CVE 挖掘成果AutoCVE 在为期一周的测试中共发现并提交了30 个安全漏洞覆盖14 个开源项目。点击表格中的 CVE 编号可查看官方记录完整漏洞报告收录于larlarua/vulnerability-reports。下载《渗透安全HackTwo》回复20260707获取下载
AutoCVE是一款基于多Agent协同的全流程自动化CVE挖掘与源码审计系统
发布时间:2026/7/8 6:46:49
0x01 工具介绍AutoCVE是一款基于多Agent协同的全流程自动化CVE挖掘与源码审计系统依托智能调度与ReAct循环机制融合多模式审计能力可自动完成项目筛查、漏洞挖掘、验证研判与报告生成。实测表现亮眼可在一周内挖掘30个合规高危漏洞覆盖多款主流开源项目大幅降低人工挖洞成本高效助力安全研究与漏洞申报工作。注意现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨核心能力 一键完成 CVE 挖掘实现从项目筛选、仓库导入、审计任务创建、Agent 漏洞挖掘到 CVE 申报报告生成的全流程自动化。用户仅需复制报告内容并提交即可完成后续 CVE 申请。 Multi-Agent 协同审计通过 Orchestrator 统一调度 Recon、Scan、Triage、Finding 和 Verification 等 Agent协同完成信息收集、工具扫描、误报过滤、漏洞深挖与动态验证。 三种审计模式根据不同审计目标灵活选择增强扫描、智能审计或综合审计兼顾扫描效率、挖掘深度与审计覆盖范围。审计模式核心 Agent适用场景⚡增强扫描Scan → Triage快速分析工具扫描结果并过滤误报智能审计Finding深度挖掘高价值漏洞适用于 CVE 和 0Day 研究综合审计Scan → Triage Finding融合工具扫描与源码分析开展全量审计 面向 CVE 挖掘的专用 AgentFinding Agent 是 AutoCVE 的核心审计能力专为 CVE 挖掘场景设计。它可直接分析项目源码并结合 ReAct Loop、专项工具调用、Nudge 纠偏及FinalizeFinding结构化终止机制最终产出符合 CVE 申报条件的高价值漏洞。 交互式审计与全过程追踪支持用户交互将完整审计过程作为会话上下文用户可围绕审计结果继续追问让 Agent 补充证据、解释攻击链、完善复现步骤或扩展漏洞分析。可视化审计追踪集中展示活动日志、Agent Tree、工具调用、阶段进度、初步报告和审计会话方便复盘每次审计的执行路径与关键过程。️ 智能漏洞管理与 Skills 扩展智能化漏洞管理审计发现的漏洞由 Agent 调用工具自动提交经过去重后以结构化形式入库并在漏洞管理模块中统一维护。专属 Skills 配置支持根据实际需求为不同 Agent 配置专属 Skills灵活扩展各 Agent 的能力边界。成果明细30CVE 编号项目漏洞类型CVSS漏洞内容CVE-2026-40904ChartbrewImproper Access Control8.1查看详情CVE-2026-40603ChartbrewImproper Access Control6.5查看详情CVE-2026-40601ChartbrewMissing Authorization7.5查看详情CVE-2026-40600ChartbrewImproper Access Control8.1查看详情CVE-2026-40595ChartbrewImproper Access Control7.5查看详情CVE-2026-42181LemmySSRF6.5查看详情CVE-2026-42180LemmySSRF6.3查看详情CVE-2026-7290JeecgBootSQL Injection6.3查看详情CVE-2026-7291o2oaSSRF6.3查看详情CVE-2026-7292o2oaRCE5.6查看详情CVE-2026-7303xxl-jobImproper Access Control3.7查看详情CVE-2026-7305xxl-jobSSRF6.3查看详情CVE-2026-7306xxl-jobHard-coded Key5.6查看详情CVE-2026-40610BentoMLLink Following5.5查看详情CVE-2026-48763typebot.ioMissing Authorization8.2查看详情CVE-2026-48764typebot.ioSSRF8.2查看详情CVE-2026-48765typebot.ioAuthorization Bypass9.9查看详情CVE-2026-48766typebot.ioSensitive Data Exposure7.6查看详情CVE-2026-48767typebot.ioSensitive Data Exposure7.6查看详情CVE-2026-45296OpenReplayImproper Access Control7.7查看详情CVE-2026-46372SillyTavernSSRF8.5查看详情CVE-2026-45260pimcoreMissing Authorization8.1查看详情CVE-2026-41235froxlorIncorrect Authorization8.8查看详情CVE-2026-41236froxlorLink Following8.8查看详情CVE-2026-43984TautulliStored XSS8.9查看详情CVE-2026-43985TautulliCSRF8.8查看详情CVE-2026-43986TautulliSSRF9.9查看详情CVE-2026-54091filebrowserIncorrect Authorization7.5查看详情CVE-2026-50279craftcmsImproper Authorization6.5查看详情CVE-2026-50280craftcmsImproper Access Control6.5查看详情0x03 更新介绍fix: persist uploaded ZIP project sources for worker audits (97ce141) docs: update acknowledgements in README (f1b96c2) docs: update architecture design (bfff54f)0x04 使用介绍安装与使用指南无需克隆仓库一行命令即可启动Linux / macOS / Git Bash :curl -fsSL https://raw.githubusercontent.com/larlarua/AutoCVE/v1.0.4/docker-compose.prod.yml \ | docker compose -f - up -dWindows PowerShell / CMD :curl.exe -fsSL https://raw.githubusercontent.com/larlarua/AutoCVE/v1.0.4/docker-compose.prod.yml | docker compose -f - up -d️ 源码部署适用于本地开发、功能调试或二次开发cd AutoCVEdocker compose up -d --build 服务访问服务启动完成后可通过以下地址访问服务访问地址用途️ 前端http://localhost:3000AutoCVE 用户界面⚙️ 后端 APIhttp://localhost:8000后端接口服务 Swaggerhttp://localhost:8000/docsAPI 文档与接口调试️ Adminerhttp://localhost:8080数据库管理Tip快速体验完整审计流程配置模型 → 导入项目 → 创建审计任务 → 跟踪实时审计 → 管理漏洞 →编辑或导出报告 CVE 挖掘成果AutoCVE 在为期一周的测试中共发现并提交了30 个安全漏洞覆盖14 个开源项目。点击表格中的 CVE 编号可查看官方记录完整漏洞报告收录于larlarua/vulnerability-reports。下载《渗透安全HackTwo》回复20260707获取下载