从0到1：构建一个AI自动化未授权访问漏洞挖掘 Agent-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

从0到1：构建一个AI自动化未授权访问漏洞挖掘 Agent

2026-05-25

预警！数据安全再遇新挑战

2026-05-21

密评 FAQ 第四版新增第 23 问：美创数据库透明加密产品的合规路径解析

2026-05-21

分析｜美创DRCC如何开启韧性容灾新篇章，契合“十五五”打造容灾备份体系

2026-05-18

什么是高质量数据集？

2026-05-15

从 0 到 1：OpenAI Agents + Chrome MCP 构建智能网页侦查 Agent

2026-05-11

每周安全速递³⁷⁶ | 密西西比大学医学中心在遭受勒索软件攻击后恢复正常运营

2026-03-09

每周安全速递³⁷⁵ | LockBit5.0版本支持Windows、Linux与ESXi平台

2026-03-09

每周安全速递³⁷⁴ | Osiris勒索软件利用BYOVD技术禁用安全工具

2026-02-02

每周安全速递³⁷² | DeadLock勒索软件团伙利用Polygon智能合约存储代理服务器地址

2026-01-19

从0到1：构建一个AI自动化未授权访问漏洞挖掘 Agent

发布时间：2026-05-25 阅读次数： 361 次

前言

在上篇文章中，我们使用 openai-agents-python + Chrome DevTools MCP 开发了一个网页侦查 agent，使得 AI 具备了操作网页的眼睛和手脚，并成功生成了图文并茂的网页侦查报告。本文将进一步基于网页侦查 agent 进行扩展，构建并接入一个未授权访问漏洞挖掘 Agent，目标是让 AI 在对网页进行侦查之后，能够自动进行未授权访问漏洞的挖掘，并输出高可信度的未授权访问漏洞报告。

AI 自动化未授权访问漏洞挖掘 Agent 架构

在传统的手工 + 插件辅助的未授权漏洞挖掘方法中，通常会进行如下 3 项工作：

● 使用 dirsearch 等主动式扫描工具结合字典进行扫描，可以发现如 swagger 未授权、eureka 未授权等常见未授权漏洞。

●对网站 js 文件中的 api 接口进行提取，再放到 burpsuite 的爆破模块或者编写脚本进行批量测试，根据返回包状态码、返回包长度和内容判断是否存在有效的未授权访问漏洞。

●使用一些被动式插件，如 burpsuite 的 Autorize 插件，设置好请求头替换策略后手工逐个访问网站功能，根据插件提示人工确认是否存在未授权访问漏洞。

上述 3 项工作可以通过多个脚本/插件配合，再加上人工确认即可。

因此，在构建未授权访问漏洞挖掘 Agent 时，我们可以将上面 3 项工作中涉及到的一些脚本/插件变成 tool 供 agent 调用，结合 Chrome DevTools MCP 就可以让 AI 完成未授权访问漏洞从挖掘到输出报告的所有工作，架构流程图如下所示：