面对不断增长的 CVE 数量,企业安全团队最难承受的并不只是“漏洞越来越多”,而是每个漏洞都需要花大量时间判断:它是否真实存在、是否可利用、是否必须立即修补。NVIDIA 这篇文章介绍的 Agent Morpheus,正是试图把这类高消耗分析流程从人工逐条排查,升级成由生成式 AI、RAG 和事件驱动流水线共同完成的自动化漏洞研判系统。
文章强调,传统漏洞扫描只能回答“某个 CVE 可能出现了”,却很难回答“它在当前容器里是否真的构成风险”。而后一个问题往往更关键。Agent Morpheus 的思路,是在漏洞被扫描出来后,不直接把“发现 CVE”视为必须修补的结论,而是进一步自动生成调查 checklist,调用多种情报源、项目代码、SBOM、文档和环境信息,对漏洞可利用性做更细化的推理。这样,系统的目标就从简单发现问题,升级为帮助分析师判断优先级和处置必要性。
在工作流设计上,这套方案融合了 RAG 与多阶段智能体推理。它使用不同的大模型分别承担计划生成、调查执行、结果总结以及 VEX 说明标准化等任务,并让 agent 按 checklist 自主完成检索和分析。文章举的例子非常典型:如果某个漏洞涉及 `.jar` 文件,但目标容器根本没有 JRE 运行时,那么即使签名命中,也可能并不可利用。类似这种依赖运行上下文的判断,正是传统规则式扫描很难高效完成的部分。
为了让系统能在企业规模下真正跑起来,NVIDIA 还把它做成事件驱动微服务:当新的容器被推送到仓库后,扫描结果会自动触发 Agent Morpheus 流程,随后由 NIM 承载大量 LLM 请求,再通过 Morpheus 框架并行执行不同 CVE 与各自 checklist。文章给出的数据表明,在 20 个 CVE 的示例容器中,并行化后处理时间可从约 2842 秒降到约 305 秒,体现出明显的吞吐优势。
这篇文章最有价值的一点,在于它没有把 AI 描述成替代安全分析师的万能答案,而是把它定位为能大幅压缩调查前置工作量的自动化协作者。最终的人类审核、例外审批和 VEX 发布仍然存在,但分析师不必再从零收集上下文、反复检查依赖条件,而是可以直接基于结构化总结做判断。对大型软件发布和容器安全团队来说,这类能力会直接影响漏洞处理效率和发版节奏。
尽管这篇文章发布时间早于前面几篇 2025 新文,但它在 agentic AI 安全应用中的代表性很强,也与本轮已发布的安全运营主题形成了互补:一篇讲告警与运营调查,一篇讲漏洞与可利用性分析。两者合在一起,勾勒出 NVIDIA 正在推动的方向——让智能体从信息总结,进一步走向可执行、可并行、可集成到企业安全流程中的实际生产力工具。
WeChat
Profile