一、成果背景
政企单位在开展渗透测试、攻防演练、等保测评和日常安全巡检时,普遍面临人工专家成本高、测试流程碎片化、工具调用门槛高、结果整理耗时和执行过程难追踪等问题。传统批量扫描器自动化程度较高,但在目标理解、任务拆解、拟人化验证和低扰动执行方面能力不足。该成果面向授权、合规的安全评估需求,探索以自然语言入口和AI Agent为核心的智能安全执行模式。
二、成果简介
本成果定位为面向授权安全评估场景的对话式智能安全数字员工。系统通过钉钉、飞书、微信及Web控制台等自然语言入口接收评估任务,由AI Agent完成意图理解、目标分析、任务拆解、计划调度和上下文记忆,并通过多Skill编排引擎对资产发现、登录分析、页面与接口理解、路径推理、漏洞验证、证据采集和报告生成等能力进行串行或并行调度。与传统批量扫描器或聊天命令封装平台不同,该系统强调“目标理解-任务规划-多Skill协同-结果回传”的闭环,在授权边界、低扰动、日志审计、凭据隔离和人工确认机制下,对重点目标开展更接近人工安全专家行为模式的深度安全检查,提升安全验证的自动化、可追溯和可交付能力。
图1 对话式智能安全数字员工架构
三、技术亮点
技术亮点在于以自然语言驱动安全评估任务,通过AI进行意图理解、目标分析、任务拆解和执行计划生成,并由Skill编排层动态选择串行或并行流程。系统支持浏览器沙箱、HTTP/API执行、隔离容器、凭据保管、日志审计、授权边界和风险控制,能够在低扰动前提下完成拟人化交互、漏洞验证、证据收集和报告生成,形成过程可追踪的智能安全验证闭环。
四、市场前景
成果可应用于等保测评、攻防演练、企业安全巡检、授权渗透测试、红队辅助和安全运营自动化等场景。随着政企单位对合规评估、低成本专家能力和自动化交付的需求增加,该系统具备工具化、平台化和服务化推广潜力。
五、核心知识产权
已形成对话式安全评估原型、任务规划流程和多Skill编排机制,后续可围绕自然语言授权安全评估任务编排、安全测试Skill智能调度、安全评估过程追踪与报告生成等方向申请软件著作权、发明专利或企业/团体标准。
六、技术成熟度
○概念验证 ○原理样机 ●工程样机 ○中试 ○产业化
七、意向合作方式
○联合研发 ○技术入股 ○转让 ●授权(许可) ●面议
成果转移转化中心联系人:张老师 联系电话:029-88166098 电子邮箱:zhangyi@xupt.edu.cn
