基于流量特征挖掘与AI 推理的越权漏洞自动化识别
如果无法正常显示,请先停止浏览器的去广告插件。
1. 基于流量特征挖掘与AI推理的
越权漏洞自动化识别
Auto-detecting Privilege Escalation Vulnerabilities with Traffic Patterns &
AI Reasoning
美团技术专家 气纯
2. 目 录
CONTENTS
01 02
03 04
3. 01
AI+越权漏洞检测的
机遇和挑战
PART
4. 越权占据Web漏洞的“半壁江山”
100%
90%
80%
70%
越权漏洞长期占据SRC漏洞数
TOP1
60%
50%
40%
30%
20%
10%
0%
2023
2024
越权
逻辑设计
2025H1
其他Web类漏洞
5. 传统越权漏洞检测
高准确率、低效率
• 人工审计越权漏洞
登录目标系统
信息收集,源码审计 准备两个不同权限的 人工观察结果,发
发现有价值的接口 账号,替换凭证重放 现越权问题
上报漏洞
中准确率、高效率
• 黑盒检测越权漏洞
预先配置不同
权限的账号对
捕获接口流量
生成、使用不同 对比两次结果的
权限的凭证,重 相似度*,判断是
放接口流量 否存在越权
上报漏洞
早期采用黑盒检测+人工确认相结合,半自动化进行检测,以兼顾准确率和效率
*通常使用余弦、莱文斯坦等相似度算法,比较响应码、结构
相似度和内容相似度,得出一个综合性的值
6. 黑盒检测+人工确认的问题
准确率依赖人工校准
长期占用专家资源
非误报,但实际为公共接口;语义相似度高,但实 Case by Case 处理耗时长、上限低
际并未成功访问资源 待确认接口成千上万,安全运营人员只有1~2个
人工运营确认后,准确率能从60%提升到约80%
检测覆盖存在盲区 过程经验无法沉淀
难以定义接口的检测情况,也无法给出整个系统 人工判断标准不统一,依赖对业务的理解程度
的检测覆盖详情 运营产生的经验难以沉淀,无法在工程上复用
漏洞检出偏“随缘”,定位是一种发现能力
无法完成全自动化的根本原因:知识无法转换为结构化的规则,作用到工程上
7. 挖掘越权漏洞的底层逻辑
挖掘越权漏洞的本质:发现有价值接口→无权限账号访问→访问成功
大语言模型在文本的理解上有着先天优势,泛化能力可以实现举一反三
如果提供充足、准确、最新的前置信息,模拟人工挖掘的过程,AI也可以通过推理发现越权问题,解决无法工程化的痛点问题
问AI
问AI
AI回答
AI生成,非真实数据
AI回答
AI生成,非真实数据
8. 挖掘越权漏洞的底层逻辑
挖掘越权漏洞的本质:发现有价值接口→无权限账号访问→访问成功
• 利用AI结合黑盒检测和人工挖掘优势
预先配置多种角
色权限的账号
ü 低权限或单租户
ü 功能全,数据少
只检测有价值、 生成、使用不同 和原始流量对比
有访问控制需求 权限的凭证,重 相似度,初步判
的接口 放接口流量 断是否存在越权
ü 原始响应作为成功访问
资源的结果
ü 替换后的响应为尝试越
权访问资源的结果
AI推理分析是否真
实越权问题
ü 分析资源是否访问成功
ü 分析账号是否是本来就
有该资源权限
上报漏洞or误报
9. AI推理发现越权问题的挑战
不可预知性
专业知识召回要求高
生成具有不确定性,可能包含预期外的推理逻辑 在研判候选越权漏洞时,对召回的安全及业务知识
解决方案:使用“自我一致性”比如多模型投票等 有极高的要求,遗漏关键信息会导致推理失败
思维链范式,“原子化”AI任务提升整体鲁棒性
解决方案:使用基于Modular的RAG技术,在必
要时执行条件、分支或循环查询;不同知识模块采
用差异化的检索与排序策略
黑样本倾向性
处理效率和成本
对于黑样本有较好的检出能力,但对于白样本(误 虽然AI处理效率优于人工,但也cover不了去重后
报)的识别能力较差,容易疑神疑鬼 仍百万级别的接口,会消耗大量Token
解决方案:定制合适的工作流,AI只完成特定任 解决方案:识别关键性私有接口,聚焦于核心资产
务,能用工程解决的不上AI
10. 02
关键接口资产识别
PART
11. 公私有数据区分
• 除传统特征识别的方式之外,通过收集全量接口的访
问流量日志来构建访问模型
• 通过学习和分析正常用户的访问行为,发现用户和数
据之间的映射关系,以数据的公私有属性来判断是否
为关键接口资产,而这些接口通常都有鉴权需求
• 关键数据具备私有属性,更接近1:1的访问关系。比
如张三通常只能访问张三的订单信息,李四仅能编辑
李四的收货地址
• 非关键数据具备公开属性,更接近1:N的访问关系。
比如一篇文章内容,所有用户均可以查看
公有数据
私有数据
张三
张三订单
1:1
李四
博客文章
N:1
李四订单
N:1
王五
……
1:1
王五地址
购物评价
12. 公私有数据区分
私有数据分析原理和生产流程
流量清洗
流量归一化
流量聚合 分端策略
ü 剔除非法、无效流量 ü 拆分请求参数后聚合 ü value和uid分别进行聚合 ü 根据不同业务场景定制
ü 明文获取uid ü 剔除无意义参数 ü 按时间维度计算算数平均 不同的策略,对应不同
ü Token解析获取uid ü 至少以param_key维度
值Ratio
生产私有数据接口
ü 进入扫描器队列,等待
进一步检测
的报出阈值
计算出data_hash
𝑑𝑎𝑡𝑎_ℎ𝑎𝑠ℎ_𝑐𝑜𝑢𝑛𝑡1
𝑑𝑎𝑡𝑎_ℎ𝑎𝑠ℎ_𝑐𝑜𝑢𝑛𝑡2
𝑑𝑎𝑡𝑎_ℎ𝑎𝑠ℎ_𝑐𝑜𝑢𝑛𝑡𝑁
+ 𝑡𝑖𝑚𝑒2
+ ⋯ + 𝑡𝑖𝑚𝑒𝑁
计算公式: 𝑡𝑖𝑚𝑒1
𝑢𝑖𝑑_𝑐𝑜𝑢𝑛𝑡1
𝑢𝑖𝑑_𝑐𝑜𝑢𝑛𝑡2
𝑢𝑖𝑑_𝑐𝑜𝑢𝑛𝑡𝑁
𝑁
核心逻辑:按照时间维度计算每个资源id的用户uid访问情况
13. 公私有数据区分
识别为私有数据的接口约为全
量接口的1/40
仅针对性检测2.5%的私有数
据接口,量级在万至十万
2.5%
私有数据
约全量接口数的2.5%
97.5%
公有数据
约全量接口数的97.5%
14. 03
Workflow和知识库
的构建
PART
15. Workflow设计架构
Tools, MCP
私有数据
基础设施模块
候选越权漏洞
接口画像
打标模块
黑盒流量重放检测
推理检索
分析模块
ü API 功能描述
其他响应结果
类(离线推理)
ü 未携带必要参数
ü 鉴权拦截
ü ……
ü 定期分析检测失败问题
决策模块
特征和路由
ü API 数据类型和密级
ü API 其他维度聚合tags
规则模块
ü Black list white list
ü 检索前路由:根据API type 、
业务类型、系统类型等select
ü 401
生成T+1监测指标
自我一致性
ü API type (CRUD)
覆盖分析
检测结果AI分
误报及原因
不同的目标模块
ü 执行条件、分支或循环查询
稀疏检索
致密检索
混合检索
模块化知识库
业务反馈误报
漏洞工单
16. 模块化知识库
• 入库前知识压缩、提炼,减少分片影响
• 入库后对知识做召回测试,根据不同场
景选择不同的检索器和向量模型,正确
召回是决定后续推理质量的关键因素
• 使用知识库更新机制减少人工对知识库
的维护成本
技术层
风险层
内部技术 数据分类分级
权限体系 操作影响
前置检测原理 范围影响
扫描账号权限 遍历影响
业务层
经验层
经验层
权限模型 历史漏洞
业务层 业务功能 历史误报
风险层 分端知识 资源形态
技术层 核心数据 专家经验
模块化的目的:知识复用,知识库可由不同团队维护和使用;灵活调度,避免引入不必要的知识让大模
型的注意力发生偏移
17. 决策模块
• 安全运营人员对业务的理解多少会有一
些滞后和不足,知识库、召回等能力也
无法在早期就尽善尽美
• 使用三分法而不是二分法,允许大模型
回答“不太确定”,增强可解释性和规
则迭代能力
决策1
确定不存在越权漏洞,同时兼顾部分扫描的误报反馈(如
相似度判断错误等)不作为漏洞报出
决策2(缓冲区)
基于当前信息无法判断,比较纠结的情况
关注高召回,作为漏洞报出,业务反馈误报后优化白样本规则
关注高准确率,不作为漏洞报出,业务反馈漏报后优化黑样本规则
• 根据实际业务情况,灵活调整第二种决
策状态
决策3
确定存在越权漏洞,作为漏洞报出
18. 04
效果和演进方向
PART
19. 运营效果
准确率:79%
效率:平均10s做一次决策
累计运营漏洞:100+
召回漏洞:200+,额外发现5例人
工漏报,AI正确识别
20. 未来演进方向
更多维的信息输入
黑白灰盒单一检测的模式会逐渐out,各自的优势会融
合在一起,如补充白盒对于代码的检测信息进行推理。
结合大模型多模态能力,进一步触达接口下的资源情
况,模拟专家挖掘越权漏洞的过程,提升准召
更强的推理能力
基于MCP协议和A2A等能力的高级协作模式,可以完成
更加复杂的推理任务,识别成因更复杂的漏洞
21. Q&A
22. 更多技术干货
欢迎关注“美团技术团队”