# AutoCVE - 一键挖掘 CVE,筛项目、审源码、验漏洞、出报告,全流程自动化

[](https://www.gnu.org/licenses/agpl-3.0)
[](https://www.python.org/)
[](https://fastapi.tiangolo.com/)
[](https://react.dev/)
[](https://www.postgresql.org/)
[📚 项目文档](#-项目文档) ·
[✨ 核心能力](#-核心能力) ·
[🚀 快速开始](#-快速开始) ·
[🏆 CVE 成果](#-cve-挖掘成果)
简体中文 | English
---
## 📚 项目文档
### 📖 [用户使用手册](./docs/USER_GUIDE.md)
涵盖环境部署、模型配置、项目导入、Agent 审计、一键 CVE、漏洞管理和 Skills 管理完整使用说明,并提供各功能界面预览。
### 🏗️ [架构设计文档](./docs/ARCHITECTURE_DESIGN.md)
介绍 AutoCVE 的整体架构、Agent 工作流、工具编排、权限保护、Agent Runtime 以及 ReAct Loop 状态机设计。
### 🔌 [接口文档](./docs/API_DOCUMENTATION.md)
提供后端 API、数据结构、请求参数及接口调试说明。
---
## ✨ 核心能力
### 🚀 一键完成 CVE 挖掘
实现从项目筛选、仓库导入、审计任务创建、Agent 漏洞挖掘到 CVE 申报报告生成的全流程自动化。用户仅需复制报告内容并提交,即可完成后续 CVE 申请。
### 🤖 Multi-Agent 协同审计
通过 Orchestrator 统一调度 Recon、Scan、Triage、Finding 和 Verification 等 Agent,协同完成信息收集、工具扫描、误报过滤、漏洞深挖与动态验证。
```mermaid
flowchart LR
O["Orchestrator"] --> R["Recon"]
R --> S["Scan"]
S --> T["Triage"]
R --> F["Finding"]
T --> V["Verification"]
F --> V
V --> M["Merge / Finalize"]
```
### 🧩 三种审计模式
根据不同审计目标灵活选择增强扫描、智能审计或综合审计,兼顾扫描效率、挖掘深度与审计覆盖范围。
| 审计模式 | 核心 Agent | 适用场景 |
| :---------: | :---------------------: | :-------------------------- |
| ⚡ **增强扫描** | Scan → Triage | 快速分析工具扫描结果并过滤误报 |
| 🧠 **智能审计** | Finding | 深度挖掘高价值漏洞,适用于 CVE 和 0Day 研究 |
| 🔍 **综合审计** | Scan → Triage + Finding | 融合工具扫描与源码分析,开展全量审计 |
### 🎯 面向 CVE 挖掘的专用 Agent
Finding Agent 是 AutoCVE 的核心审计能力,专为 CVE 挖掘场景设计。它可直接分析项目源码,并结合 ReAct Loop、专项工具调用、Nudge 纠偏及 `FinalizeFinding` 结构化终止机制,最终产出符合 CVE 申报条件的高价值漏洞。