本帖最后由 飞机飞行 于 2026-7-4 12:48 编辑
AI正在把漏洞发现
从“人的速度”推向“机器速度”
在刚刚结束的 ISC.AI 2026 第十四届互联网安全大会上,360集团创始人周鸿祎正式发布AI漏洞挖掘智能体“图龙锋”。
7月20日,图龙锋将正式开放试用。现在即可预约申请,首批将优先面向企业用户、重点行业、信创单位及关键基础设施相关单位开放。
图龙锋不是传统静态扫描工具加一点AI,也不是生成一堆“疑似告警”交给安全人员逐条排查,而是360基于二十余年攻防实战经验,采用智能体工程化路线——将大模型能力、安全专家经验、漏洞知识库组织成可协同工作的智能体系统。
一句话概括:图龙锋交付的不是告警列表,而是可验证、可复现、可修复的漏洞结论。
四大能力:
让漏洞挖掘从工具扫描走向智能体协同
1.多智能体协同:
一支AI攻防团队同时作战
图龙锋采用多智能体协同架构,由项目画像、任务编排、攻击面分析、静态审计、动态验证、专项漏洞挖掘、报告生成等多个专业Agent分工协作。
面对一个目标,系统会先理解项目结构,再拆解审计任务,围绕高危入口并行分析。各智能体通过共享状态板实时同步,统一汇聚候选漏洞,减少重复分析和无效扫描。
这不是简单“扫代码”,而是在模拟一支专业安全团队协同挖洞。
2.攻击面分析:
优先找到真正危险的入口
漏洞挖掘最怕全量盲扫:看起来覆盖很多,实际重点不清、误报较多。
图龙锋会基于项目画像和系统框架,自动识别外部可触达入口,分析协议特征、权限校验、参数流向和信任边界,覆盖HTTP接口、系统调用、文件操作、移动端组件等多类入口。
通过攻击面驱动,图龙锋可以优先深挖高危可达路径,让漏洞审计从“地毯式扫描”转向“攻击路径驱动”。
3.智能审计:
模式匹配与语义推理双引擎
传统工具更擅长识别已知漏洞模式,但面对业务逻辑漏洞、跨文件调用链、复杂权限校验时,往往容易失效。
图龙锋同时具备模式匹配和语义推理能力:一方面追踪完整数据流路径,覆盖SQL注入、命令注入、反序列化、认证绕过等典型漏洞;另一方面沉淀360安全专家经验,理解业务语义和代码逻辑,挖掘隐藏在复杂场景中的深层风险。
它不只识别“像漏洞的代码”,更判断“能否形成真实攻击路径”。
4.验证闭环:
从“疑似风险”到“确认漏洞”
对企业来说,最消耗人力的不是发现告警,而是复核告警。
图龙锋采用验证驱动机制,对候选漏洞进行深度验证:读取源码、追踪调用链、生成攻击脚本,并在沙箱环境中进行实测,最终输出明确结论。
每个确认漏洞都尽可能附带PoC、证据链和修复建议,让安全团队拿到的不是需要二次排查的告警,而是可以直接进入修复流程的漏洞报告。
四类场景:
让AI漏洞挖掘进入政企真实业务
对政企客户而言,真正的竞争力,不只是做出几个Agent应用,而是具备安全地规模化行动的能力。图龙锋要解决的,正是让企业先一步看见自身代码、组件、平台和业务系统中的漏洞,让安全成为规模化落地的前提条件。
1.开源软件与供应链安全审计
面向企业引入的开源组件、开发框架、数据库、工具库和第三方依赖,图龙锋可对大规模代码库进行批量自动化审计,发现源码缺陷、依赖传导风险和协议实现漏洞。
供应链安全不能只停留在已知CVE比对。真正危险的,往往是尚未公开、尚未编号、尚未被传统工具发现的深层漏洞。
2.企业DevSecOps代码安全审计
面向企业自研Web应用、业务系统、微服务代码,图龙锋可嵌入研发流程,在代码提交、构建、上线前自动开展安全审计。
它可以帮助企业在开发早期发现越权访问、业务逻辑漏洞、并发竞态、注入风险等问题,把安全能力前置到研发流程中,降低上线后修复成本。
3.Web产品上线前安全审计
面向企业内外网系统、云上业务和对外服务平台,图龙锋可在产品发布前完成攻击面梳理、指纹识别、通用漏洞检测、业务逻辑校验和漏洞验证。
对于快速迭代的业务系统来说,上线前多一次AI漏洞挖掘,就可能少一次上线后的真实攻击风险。
4.漏洞快速验证与应急处置
当新漏洞披露、攻击情报出现或企业发生突发安全事件时,最关键的是快速判断:漏洞是否真实存在?是否可利用?影响哪些系统?应该如何临时防护?
图龙锋可以辅助快速搭建验证环境、生成PoC、评估影响范围,将漏洞验证从“天级”压缩到“小时级”,帮助企业缩短攻击窗口。
实战验证:
累计挖掘漏洞4000+
目前,图龙锋已累计挖掘漏洞4000+,超百个高价值漏洞经权威机构核验确认 Windows内核/ Office 基础组件 / Excel 0 day获微软官方致谢 Openclaw系列漏洞,创始人致信确认 Flowise平台系列0 day漏洞,获环球网科技专题报道 第六届“天府杯”国际网络空间安全大赛漏洞防护一等奖 华为终端安全奖励计划一等奖
从开源代码到二进制漏洞,从传统软件到AI智能体生态,图龙锋已经证明:AI漏洞挖掘不是概念,而是可以持续运转、持续产出、持续验证的实战能力。
7月20日正式开放试用,现在即可预约申请
自己的漏洞,必须自己先看见。
7月20日,图龙锋将正式开放试用。现在即可预约申请,首批名额有限,扫码即刻预约!
申请流程如下:
第一步:扫码填写试用申请 提交基本信息和试用场景,提前预约试用名额。 第二步:360进行场景审核 根据业务场景、试用需求和适配情况进行审核。 第三步:7月20日起陆续发放试用账号 审核通过后,试用账号将通过预留邮箱陆续发放。
让AI先一步发现漏洞,在攻击发生前完成验证、修复与闭环。
来源 360数字安全
|
|
|
|
|
|
评论
直达楼层