Vigolium是一个将确定性扫描与人工智能驱动的审计相结合的开源漏洞扫描器,本月推出了其首个开源版本。该项目交付了235多个扫描仪模块和一个名为olium的进程内代理运行时,该运行时处理自主端点发现、攻击规划和查找分类。
该工具暴露了两条扫描路径。vigolium scan运行一个多阶段确定性管道,涵盖内容发现、基于浏览器的蜘蛛以及主动和被动审计。vigolium agent将控制权交给LLM驱动的线束,该线束选择模块,生成自定义JavaScript扩展,并在动态扫描的同时运行源代码审计。
预算上限和代理自主成本
代理安全工具给运营商提出了一个反复出现的问题:在其输出停止有用之前,应该允许自主审计员消耗多少金钱和时间。Vigolium暴露了令牌、工具调用、分类迭代和挂钟持续时间的上限。
该工具的作者Jessie Ho告诉Help Net Security,运营商应该将上限与工作相匹配。“时间框的笔测试或CI运行:依靠挂钟和迭代上限,以便它始终完成。深入研究一个目标:松开代币,让它重新计划。广泛扫荡:保持每个目标的预算紧张,否则一个兔子洞目标会吃掉一切。”
他描述了预算不足和预算超的两种失败模式。“预算太少,经纪人中途被裁员,你只剩下一个信心不足的存根。太多了,它只会徘徊,烧钱,并增加噪音。”他对新用户的指导是,只有在真正的工作被切断时,才开始收紧并松开上限。
分区作为一个单独的阶段
听起来合理的发现未能重现,在LLM辅助安全测试中仍然是一个持续存在的问题。Ho说,Vigolium在扫描后通过运行分诊来处理这个问题。“扫描仪找到候选人,然后根据其证据重新检查每个候选人。”
在重复数据删除方面,设计更倾向于合并而不是删除。“它只折叠同一问题的副本,它从不对边缘问题进行保留或终止呼叫。经纪人不确定的任何事情都会被降级并显示出来,永远不会悄悄地放弃。”
扩展、沙盒和可能的注册表
Vigolium的JavaScript引擎允许用户使用会话感知HTTP API编写自定义扫描模块和钩子。扩展可以在没有沙盒的情况下执行任意命令。当被问及社区登记册是否可能出现时,Ho对这种系统所需的信任模式持谨慎态度。
“扩展运行没有沙盒的任意代码,因此注册表实际上只是分发可执行文件,签名只告诉你是谁编写的,而不是它是否安全。”他说,任何共享机制都需要来源和签名,默认的不信任姿态,明确选择加入,以及对公开提交进行策划。“经过审查的小型套装胜过未经审查的大型市场。”
开放核心,商业控制台
Vigolium与名为Cloud Console的托管产品一起发货。Ho在操作方面划定了两者之间的界限。“扫描仪是开放核心,操作是商业的。任何发现错误的东西都会留在AGPL回购中。控制台只是上面的操作层:托管、协作、扩展、调度。」
他说,贡献者的信心基于许可证和随着时间的推移可见的行为。“新的检测首先在开放回购中登陆。白天的能力开始从核心中移动,以追加销售控制台,这种信任消失了。”
Vigolium在GitHub上免费提供。
原文链接地址:https://www.helpnetsecurity.com/2026/05/27/vigolium-open-source-vulnerability-scanner/
