--- title: "“龙虾”也需要看病?一张旧病历,引出三个新确诊" source: wechat url: https://mp.weixin.qq.com/s/QcJD7yAAs_Ft-gD9uBV4rA ingest_date: 2026-07-04 vxc: 49 stars: 4 sha256: 1a10c7c1ef536920286c9e96756dafef70878089f45cc1324288d4180198fa17 --- # “龙虾”也需要看病?一张旧病历,引出三个新确诊 **来源**: 腾讯技术工程 **发布日期**: 2026-04-10 **原文链接**: https://mp.weixin.qq.com/s/QcJD7yAAs_Ft-gD9uBV4rA --- 作者: 悟空代码安全团队 本文是悟空Agent泛化能力系列的先导篇。我们不 展开 技术细节, 只回答 一个 核心 问题 : 为什么 悟空Agent 在 漏洞 挖掘中 需要 泛化 能 力 。 后续系列将 深入 拆解泛化体系的每个环节——感知、建模、自迭代、规模化验证。如果你对AI 代码 安全感兴趣,这是一个值得从头跟下去的故事。 👉 文末提供悟空 Agent 试用申请 链接 ### 一、AI找漏洞,已经超出所有人的预期 Anthropic 旗下的 Claude,在参与 FreeBSD 操作系统安全测试期间,不仅发现了一个此前从未被注意到的安全漏洞,更 成功 生成了一份可直接复现的漏洞利用代码。 Claude 所展示的,是 AI 在漏洞挖掘上的 深度 ——能够在特定目标上持续深挖,找到人类研究者尚未触及的角落。然而,还有另一个维度同样关键,甚至更具挑战性: 广度 —— 发现一个漏洞之后,AI 还能顺藤摸瓜,找到什么? 这正是悟空 Agent 一直试图回答的问题。而在 OpenClaw(我们 熟知 的"龙虾")上,我们得到了三个具体的答案。 二、三份报告之前:先聊聊"为什么找一个还不够" 设想一位经验丰富的传染病科医生,接诊了一例罕见病例。 普通医生的处置逻辑是: 确诊→治疗→结案 。而有经验的医生则会多 思考 一层: 这种疾病的发病机制究竟是什么?还有多少人带有相似症状,却尚未得到诊断? 安全领域的传统做法,更接近前者: 发现漏洞→修复→关闭工单→进入下一个目标 。鲜有人追问:这个漏洞的"同族"潜伏在何处? 悟空 Agent 想做的,是后者——以一个已知漏洞为起点,推断"同族漏洞"可能存在的位置:既包括高度相似的直接变种,也包括表面上毫无关联、却在底层机制上一脉相承的"远亲"。 我们将这种能力称为 泛化 。发现一个漏洞,固然重要;但 更有价值 的 ,在于由此出发,系统性地识别并消除一整类同源漏洞——这才是泛化能力的意义所在。 三、案例实录:悟空Agent在 Openclaw 的三次"确诊" 本文 介绍 的 三个漏洞,全部 由 悟空 Agent 检测 , 已 向 Openclaw 官方 正式提交并确认 ( 最新版本 已修复 ) 。它们有一个共同的起点——同一张"病历" 。 源头漏洞: GHSA-3hcm-ggvf-rch5 这个漏洞的核心很简单:攻击者可以在一条命令的双引号里藏入特殊语法( ⁠$()⁠  或反引号),系统的白名单检查看到的是一条"合规命令",但 shell 在真正执行时,悄悄运行了藏在里面的另一套指令。 一句话: 检查时看到的是安全的命令,但真正运行时却执行了被隐藏的额外指令 。 悟空Agent从这张病历出发,用三种不同"松紧度"的泛化策略,找到了三个新漏洞。 ## Case 1:高相似度泛化——“同一种病,换了个器官” 源漏洞 : GHSA-3hcm-ggvf-rch5 (双引号内命令替换绕过exec白名单) 泛化 漏洞 : GHSA-wpc6-37g7-8q4w (Shell init-file选项绕过exec白名单) ● 危害类比: 同一种肿瘤,第一次长在了胃部,第二次长在了肠壁——病理科报告显示,两个肿块的细胞结构高度一致,起源相同。如果只治了胃,没有对整个消化道做系统筛查,肠壁上的那个就会被漏掉。 ● 悟空Agent 执行的泛化策略: ○ 策略 简述 : 「基于 GHSA-3hcm-ggvf-rch5,在当前仓库的 exec 白名单匹配逻辑中,逐一扫描所有 shell 调用形态,检查是否存在其他可以在"审查阶段"与"执行阶段"之间插入差异的参数或选项。 ○ 约束程度: ★★★ 紧 (同一模块、同一攻击面、精确复现逻辑) ● 泛化路径极短 : 原始漏洞 → 相同逻辑/相近代码结构 → 发现变种漏洞 ○ 同在 exec 白名单机制内,只是从"双引号内的命令替换"扩展到了"shell wrapper的init-file参数",代码相邻,模式高度重合。 ● 说明: 高相似度泛化是"最近的亲戚" , 传统工具做代码 diff 也有机会发现,但悟空Agent能把"审查与执行之间存在差异"这个抽象模式转化为对所有 shell 参数的系统性扫描,速度和覆盖度远超人工。 ## Case 2:中相似度泛化——“相同病因,不同症状” 源漏洞 : GHSA-3hcm-ggvf-rch5 ( exec 执行层:校验看到的命令,与最终执行的命令,不是同一件事 ) 泛化 漏洞 : GHSA-x2m8-53h4-6hch ( ingress 授权层:校验时依赖的角色状态,与执行时的真实状态,不是同一件事 ) ● 危害类比: 同一种细菌感染,一个引发肺炎,一个引发肠炎——病因相同,但如果没有系统性思维,两个病例可能永远不会被关联起来 ● 悟空Agent 执行的泛化策略: ○ 「基于 GHSA-3hcm-ggvf-rch5 揭示的"校验对象与执行对象不一致"这一根因,不局限于 exec 命令执行层,扫描整个系统中所有存在"校验时状态"与"执行时状态"可能发生偏移的授权逻辑,检查这些偏移是否可被利用。」 ○ 约束程度: ★★ 中 (跨模块,攻击面从命令执行扩展到通信层授权) ● 泛化路径: 从漏洞触发模式推演到不同上下文、不同模块中的类似问题 ○ 这里需要从"命令解析被欺骗"这个 绕过 策略 ,抽象出"校验层与执行层之间的状态不一致"这一更通用的漏洞模型,再将其投影到 ingress 的授权逻辑上。这是语义跳跃,传统工具基本无法做到。 ● 说明: 这里体现的是语义理解能力,而非简单的代码模式匹配,传统工具基本无法覆盖 ## Case 3:低相似度泛化——“遥远的亲戚病” 源漏洞 : GHSA-3hcm-ggvf-rch5 ( 外部输入越过了信任边界,系统没有完整解析它"是什么" ) 发现漏洞 : GHSA-cxmw-p77q-wchg ( 外部输入越过了信任边界,系统没有验证它"来自哪里" ) ● 危害类比: 医生研究某糖尿病患者的发病机制,意外发现同一套底层逻辑能解释一个完全不同科室的自免疫疾病——表面毫无关联,底层机制相通 ● 悟空Agent 执行的泛化策略: ○ 「基于 GHSA-3hcm-ggvf-rch5,不局限于 CLI/命令执行层,不局限于桌面端或服务端,将"外部输入在进入高权限执行上下文之前, 系统是否完整校验了它是什么、以及它来自哪里 "作为核心检测命题,在整个代码仓库所有平台的信任边界处展开系统性排查。」 ○ 约束程度: ★ 宽 (跨平台、跨技术栈、跨攻击面,仅保留最底层的根因模型) ● 泛化路径: 跨模块、跨上下文的深层语义关联推断 ● 说明: 这是泛化能力真正的"天花板"。它不再问"同样的代码在哪里出现过",而是问"同样的认知盲区在整个系统里还有哪些角落"。这种抽象层级的迁移,是大模型区别于一切传统工具的本质能力所在。 回顾这三个案例,不难发现它们并非处于同一层次。从高度相似的代码变种,到机制相通却表现迥异的中间形态,再到仅凭底层逻辑关联推断出的"远亲"漏洞,泛化的难度依次递进,所需的推理跨度也截然不同。我们将上述三个案例归纳为三个泛化等级—— 泛化等级 通俗类比 策略约束 技术难度 传统工具能做到吗? 高相似度 同一种病,换个器官 ★★★ 紧 ★☆☆ 部分可以 中相似度 同病因,不同症状 ★★☆ 中 ★★☆ 需要大量 人工介入 低相似度 遥远的亲戚病 ★☆☆ 宽 ★★★ 超出 工具 能力 边界 # 四、 悟空 Agent 关于泛化 Harness 的实践 大语言模型本身已具备泛化能力,但为何实际应用中的泛化表现依然不稳定?答案往往不在模型,而在 Harness 的设计。以下是我们在悟空 Agent 实践中总结的四条核心原则。 原则一:给起点,不给终点;给根因,不给结论 直接告知模型推断结论,会压缩其推理空间,使其退化为执行者。正确的做法是只提供根因描述,同时给出一个推理锚点(代码片段、攻击模式或信任边界定义),让模型自主走完中间的推理路径。锚的抽象层级决定泛化深度:高相似度泛化以代码为锚,低相似度泛化以语义为锚。 原则二:约束松紧度是可以主动调节的设计参数 约束过紧,覆盖面窄,容易遗漏远亲类漏洞;约束过松,推理发散,噪音激增。我们的做法是分层触发——针对同一源漏洞,分别以高、中、低三种约束程度独立运行,再对结果进行置信度过滤汇总。 原则三:将推理过程显式化 要求模型在输出结论前先呈现推理链(根因 → 推断位置 → 理由),能显著提升结论质量,也让人工审核更高效。 如果 忽略 推理过程 , 人工审核 往往 会 无法关联上 两个 “ 远亲 ” 漏洞 。 原则四:用新发现持续反哺推理起点 每一次泛化所发现的新漏洞,都不应仅作为独立结果处理,而应反哺至下一轮泛化的输入——更新锚点,修正根因描述,丰富已有的漏洞模式库 。这使 Agent 的泛化能力持续进化,而非停滞于初始状态。 这四条原则同样适用于其他需要"从已知案例推断同类问题"的 Agent 场景。大模型的泛化能力是内置的,Harness 的作用,是为它划定合适的推理舞台。 五、为什么这件事很重要:攻击者只需赢一次,防御者必须次次不败 这场博弈,规则本就不对等。 对攻击者而言,找到一个漏洞便已足够—— 一个入口,一次突破,全盘皆输 。而对防御者而言,修掉一个漏洞几乎什么都不代表:只要还有第二个、第三个尚未被发现的缺口,系统就依然暴露在风险之中。 防守方真正需要的,是将所有漏洞、所有变种悉数找出并逐一补上,方能称得上真正意义上的安全——这正是我们研究泛化能力的根本出发点 。 传统工具擅长识别已知威胁,却对"它的变种藏在何处"束手无策。 当下已有不少团队开始将 AI 引入漏洞挖掘,这无疑是正确的方向。然而,现阶段多数探索仍聚焦于提升单点漏洞的发现 效果 ——这是 AI 在安全领域落地的自然起点,也已取得了切实的进展 。 悟空的 泛化 能力 , 试图 做的 是 另一件事 ——从"发现一个漏洞"出发,将其家族、其变种、其在整个系统中所有可能的表现形式,一次性摆上桌面。不是让防守方跑得与攻击者一样快,而是换一种打法:溯源根因,而非逐一追着症状奔跑。 这不是 AI 能力的技术展示,而是防守方在这场天然不对等的博弈中,所能找到的最务实的一条出路。 六、 下一步:悟空Agent 即将开放外部试用 这篇文章是悟空Agent泛化能力系列的先导篇 , 我们接下来会逐一拆解这套泛化体系的每个环节 。 如果你对这个系列感兴趣,可以先留下联系方式——4月底,悟空Agent 将开放外部试用,第一批名额优先向预约用户开放。 · 📋 预约试用 入口 : 悟空AI挖洞申请试用 - 腾讯问卷 我们在等你一起来找"亲戚病"。 关于腾讯 悟空 代码 安全 团队 腾讯悟空代码安全团队(WuKong, Tencent)隶属腾讯安全平台部,专注于 AI 驱动的代码层漏洞检测与安全风险治理。自研悟空代码安全 Agent 已在 GitHub 知名开源项目中累计发现并确认 400+ 0day 漏洞,获微软、英伟达、Apache 等知名企业与开源组织致谢。团队曾发布业内首个项目级 AI 生成代码安全评测集 A.S.E,团队成员 过往 研究成果发表于 S&P,USNEIX Security,FSE,ASE,ICSE,ACL 等国际顶尖学术会议。