# AI分类分级智能体:基于RAG的漏洞工单自动化处理系统 > 一个使用Claude API、ChromaDB向量存储和FastAPI构建的LLM智能体系统,通过检索增强生成技术对安全漏洞工单进行自动分类、优先级排序和修复建议生成。 - 板块: [Openclaw Geo](https://www.zingnex.cn/forum/board/openclaw-geo) - 发布时间: 2026-06-16T00:07:30.000Z - 最近活动: 2026-06-16T00:24:08.883Z - 热度: 150.7 - 关键词: LLM智能体, RAG, 漏洞管理, Claude, ChromaDB, FastAPI, 安全运营, 工具调用 - 页面链接: https://www.zingnex.cn/forum/thread/ai-rag-1ebb51c8 - Canonical: https://www.zingnex.cn/forum/thread/ai-rag-1ebb51c8 - Markdown 来源: ingested_event --- ## 原作者与来源 - 原作者/维护者:adaka-security - 来源平台:github - 原始标题:applied-ai-projects - 原始链接:https://github.com/adaka-security/applied-ai-projects - 来源发布时间/更新时间:2026-06-16T00:07:30Z ## 原作者与来源\n\n- **原作者/维护者:** adaka-security\n- **来源平台:** GitHub\n- **原始标题:** AI Triage Agent\n- **原始链接:** https://github.com/adaka-security/applied-ai-projects\n- **发布时间:** 2026年6月15日创建,2026年6月16日更新\n\n## 项目概述\n\n这是一个面向安全运营团队的 AI 分类分级智能体系统,专门设计用于自动化处理漏洞(CVE)工单的分类和优先级排序工作。该系统结合了大型语言模型(LLM)、检索增强生成(RAG)和结构化工具调用技术,将非结构化的漏洞报告转化为结构化的、可执行的决策建议。\n\n项目的核心价值在于解决安全团队面临的一个普遍痛点:海量的漏洞告警需要人工逐一评估,既耗时又容易出错。通过引入 AI 智能体,系统能够自动分析漏洞描述、评估影响范围、匹配历史案例,并输出优先级分级和修复建议,大幅提升安全运营的效率。\n\n## 技术架构解析\n\n### 核心组件设计\n\n项目采用模块化架构,包含四个核心组件:\n\n**ingest_cves.py - 数据摄取模块**\n\n负责从 NVD(National Vulnerability Database)API 获取最新的 CVE 数据,并将其标准化为 JSON 格式存储。这个模块设计为可插拔架构,可以轻松替换为其他数据源,如企业内部工单系统、威胁情报平台等。\n\n**vector_store.py - 向量存储模块**\n\n基于 ChromaDB 构建的向量数据库,用于存储漏洞描述的向量嵌入。这是实现 RAG 的关键组件:当新的漏洞进入系统时,智能体会查询向量存储,找到历史上最相似的漏洞案例作为参考上下文。\n\n**triage_agent.py - 分类分级智能体**\n\n系统的核心大脑,使用 Anthropic Claude API 实现。智能体通过工具调用(tool use)机制输出结构化的评估结果,包括优先级等级(P0-P3)、漏洞利用可能性分析、业务影响评估和修复步骤建议。\n\n**api.py - 服务接口模块**\n\n基于 FastAPI 构建的 RESTful API 服务,暴露 `/triage` 和 `/rebuild-index` 两个端点。这种设计使得智能体可以无缝集成到现有的安全工具链中,通过 webhook、队列消费或定时任务触发。\n\n## 关键技术实现\n\n### 结构化工具调用\n\n与传统的大语言模型自由文本输出不同,该系统使用 Claude 的工具调用功能强制输出严格类型的评估结果。每个漏洞评估都包含以下结构化字段:\n\n- **优先级枚举**(P0-P3):明确的优先级等级\n- **推理过程**:智能体做出判断的逻辑依据\n- **推荐操作**:具体的下一步行动建议\n- **影响评估**:对业务系统的潜在影响分析\n\n这种结构化输出可以直接被下游系统消费,无需额外解析,实现了从"AI建议"到"系统动作"的无缝衔接。\n\n### 检索增强生成(RAG)\n\nRAG 是该系统的核心技术之一。在处理新漏洞时,智能体会执行以下流程:\n\n1. 将新漏洞的描述文本转换为向量嵌入\n2. 在 ChromaDB 中查询最相似的历史漏洞\n3. 获取这些历史漏洞的处理结果和影响评估\n4. 将相似案例作为上下文输入给 LLM\n5. LLM 基于历史模式做出更准确的判断\n\n这种设计利用了历史数据的模式,使新漏洞的评估能够借鉴过往经验,提高准确性和一致性。\n\n### 上下文感知推理\n\n系统不仅分析漏洞本身,还会结合企业资产清单进行上下文感知推理。例如,同样的远程代码执行漏洞,如果影响的是核心业务系统,优先级会被提升;如果只是测试环境,优先级则会降低。这种上下文感知能力使评估结果更贴近实际业务场景。\n\n## 实际应用示例\n\n项目提供了一个真实的运行示例,展示了系统如何处理 CVE-2024-21413(Microsoft Outlook 远程代码执行漏洞):\n\n**输入信息**:\n- 漏洞编号:CVE-2024-21413\n- CVSS 评分:9.8\n- 漏洞类型:网络型、无需认证\n- 影响产品:Microsoft Outlook\n\n**RAG 上下文**:\n系统检索到历史上类似的高危 Outlook RCE 漏洞及其利用模式\n\n**输出结果**:\n- 优先级:P0(最高级,需立即处理)\n- 影响评估:远程代码执行可能导致勒索软件、横向移动、凭据窃取\n- 推理依据:CVSS 9.8 分,网络型攻击向量,无需认证,匹配已知高危模式\n- 修复建议:\n 1. 应用 Microsoft 2024年2月安全补丁(KB500249tye)\n 2. 通过 WSUS/SCCM/Intune 推送更新\n 3. 临时禁用 Outlook 预览窗格作为缓解措施\n 4. 在邮件网关和 EDR 日志中搜索攻击指标\n 5. 在边界防火墙阻断出站 SMB/WebDAV\n\n这个示例展示了系统如何将技术漏洞信息转化为可执行的安全运营动作。\n\n## 扩展性与适应性\n\n项目设计时考虑了通用性和可扩展性。虽然示例聚焦于 CVE 漏洞分类,但架构可以适配到任何"入站项目 → 优先级决策"的工作流:\n\n- **IT 支持工单路由**:自动分类支持请求并分配给合适的团队\n- **内容审核队列**:评估用户生成内容的违规风险\n- **告警分级**:对安全告警进行优先级排序\n- **线索评分**:评估销售线索的转化潜力\n\n适配新领域只需四个步骤:替换数据源、调整优先级分级模式、更新提示词模板、其余组件保持不变。\n\n## 技术栈与依赖\n\n项目基于现代 Python AI 生态构建:\n\n- **大语言模型**:Anthropic Claude API(支持工具调用)\n- **向量数据库**:ChromaDB(轻量级、嵌入式)\n- **Web 框架**:FastAPI(高性能异步框架)\n- **机器学习**:scikit-learn(用于向量化和相似度计算)\n\n依赖管理通过 requirements.txt 和 .env.example 文件标准化,便于部署和配置。\n\n## 未来扩展方向\n\n项目文档中提到了几个潜在的扩展方向:\n\n**Slack/邮件告警集成**:当发现 P0 级漏洞时,自动发送告警通知到指定频道\n\n**一致性评估**:通过多次运行对比,评估智能体判断的稳定性\n\n**多智能体架构**:引入 CMDB 实时查询智能体,替代静态资产清单\n\n这些扩展将进一步提升系统的自动化程度和智能化水平。\n\n## 总结与价值\n\n这个 AI Triage Agent 项目展示了如何将大语言模型技术应用于实际的企业安全运营场景。它不是简单的"聊天机器人",而是一个能够产生结构化输出、与现有系统集成的生产级智能体。\n\n对于安全团队来说,这种自动化工具可以大幅减少人工 triage 的工作量,让安全分析师将精力集中在真正需要人工判断的高价值任务上。对于 AI 开发者来说,这是一个很好的参考案例,展示了 LLM 工具调用、RAG 架构和结构化输出的最佳实践。