AI 기반 취약점 영향 분석기 (AI-Powered-Vulnerability-Impact-Analyzer)

🤖 AI와 보안이 만나 해당 CVE에 대해 정말로 패닉에 빠져야 할지 알려줍니다.

전통적인 소프트웨어 구성 분석 (SCA, Software Composition Analysis) 도구들은 취약점 탐지를 위해 소프트웨어 자재 명세서 (SBOM, Software Bill of Materials)에만 의존함으로써 과도한 오탐 (False Positives)을 생성하는 경우가 많습니다. 이 도구는 보고된 취약점에 대해 지능적인 영향 분석을 수행함으로써 SCA 프로세스를 강화합니다.

오픈 소스 Mistral 모델로 구동되는 에이전트 기반 AI (Agentic AI)를 사용하여 다음을 수행합니다:

• 📚 취약한 패키지의 CVE 설명을 분석하여 취약점을 유발하는 구성 요소를 정확히 찾아냅니다.
• 👮 정확성과 제어를 보장하기 위한 인간 참여형 (Human-in-the-loop) 모델을 채택합니다.
• 🔍 코드베이스에서 해당 구성 요소를 검색합니다.
• 🎯 실제 취약점 영향을 검증하기 위해 심층 코드 분석을 수행합니다.
• 💡 문맥을 이해함으로써 오탐 (False Positives)을 줄입니다.
• 🔒 데이터가 외부로 유출되지 않는 완전한 온프레미스 (On-premises) AI 솔루션으로 코드를 안전하게 유지합니다.

이 도구는 전문화된 에이전트들이 협력하는 멀티 에이전트 AI 시스템을 구현합니다:

GithubAdvisoryTool: CVE 정보를 가져오고 파싱합니다.
SecurityAnalystAgent: Mistral을 사용하여 CVE 설명에서 취약한 구성 요소를 식별합니다.
ComponentSearcherTool: 식별된 구성 요소를 위해 코드베이스를 스캔합니다.
CodeReviewerAgent: 실제 취약점 영향을 확인하기 위해 코드 패턴을 분석합니다.

Python 3.12.3

GitHub API 토큰

Mistral 7B 모델과 함께 로컬에 설치되어 실행 중인 Ollama

ollama pull mistral

CUDA가 설치된 GPU

저장소 클론 (Clone the repository)

프로젝트 루트에 .env 파일 생성:
GITHUB_TOKEN=your_github_token_here

Ollama가 Mistral 모델과 함께 실행 중인지 확인:

필요한 패키지 설치:

pip install -r requirements.txt

GitHub Advisory ID (GHSA ID)와 코드베이스 경로를 제공하여 도구를 실행합니다:

python3 cve_analyzer.py <GHSA ID> <path_to_codebase>

데모에서는 SBOM / GitHub Dependabot 경고의 취약점 (GHSA ID)이 도구에 의해 분석되고 그 영향이 연구되는 과정을 보여줍니다. 분석 및 SBOM 생성을 위해 데모에서 사용된 코드 저장소는 Dolos AI CTF Challenge입니다.

• 현재 Python 코드베이스를 대상으로 테스트 중입니다.
• Vector DB (벡터 데이터베이스)는 현재 사용되지 않으나, 향후 코드베이스 및 CVE 정보를 저장하고 검색하기 위해 사용될 예정입니다.
• 현재는 CVE 설명(description)만 사용되지만, 향후 CVE 익스플로잇 POC (exploit POCs)와 같은 더 많은 정보원을 사용하도록 확장될 예정입니다.

기여(Contributions)를 환영합니다! 언제든지 Pull Request (풀 리퀘스트)를 제출해 주세요.