跳转至

Vigolium 概述

文档API参考入门Vigolium概述复制页面Vigolium 是一款用 Go 编写的高保真 Web 漏洞扫描器。它将确定性的模块化扫描与 AI 驱动的 Agent 分析相结合,提供广泛而深入的 Web 应用程序安全问题覆盖。复制页面

Vigolium 是一款高保真 Web 漏洞扫描器,融合了 Agent AI 与原生速度、模块化和精确性。它将确定性的多阶段扫描与 AI 驱动的自主分析相结合,提供全面的安全覆盖,涵盖注入缺陷、访问控制问题、框架特定漏洞以及盲外带攻击。

该平台围绕三个关键组件构建,共同提供完整的漏洞扫描解决方案。

关键组件

Vigolium CLI:核心扫描引擎。处理所有扫描逻辑、模块执行和繁重任务,包括内容发现、基于浏览器的爬取、主动模糊测试以及 Agent AI 扫描。

Vigolium Workbench:一个自托管仪表板,用于可视化扫描结果、管理项目以及跟踪整个基础设施中的漏洞发现。部署在您自己的服务器上,完全控制您的数据。

Vigolium Console:一种基于云的解决方案,提供托管扫描、团队协作和集中报告,无需自行托管的开销。

扫描模式

Agent 扫描

Agent 扫描使用 AI Agent 驱动或增强扫描过程。通过 vigolium agent <mode> 调用。所有 AI 调度均通过进程内的 olium 引擎路由,该引擎支持十一个供应商:openai-codex-oauthanthropic-api-keyanthropic-oauthopenai-api-keyopenai-responsesanthropic-clianthropic-claude-sdk-bridgeanthropic-compatibleanthropic-vertexgoogle-vertexopenai-compatible(Ollama / OpenRouter / LM Studio / vLLM)。

模式 命令 描述
Query vigolium agent query 单次提示执行。适用于代码审查、端点发现、秘密检测。不进行网络扫描。
Autopilot vigolium agent autopilot 自主 AI 驱动的渗透测试。olium 引擎自行发现端点、运行扫描并分类漏洞发现,驱动 bash、文件操作和 vigolium CLI,直到调用 halt_scan。支持差异聚焦运行(--diff)、--intensity 预设包和会话恢复。
Swarm vigolium agent swarm AI 引导的管道,用于针对性的单请求或全范围(--discover)扫描。主 Agent 选择模块、生成自定义 JS 扫描器插件、运行代码审计和 SAST、执行扫描并分类结果,原生 Go 处理繁重任务,AI 在检查点介入。
Audit vigolium agent audit 白盒安全审计的统一驱动调度器——运行嵌入的 vigolium-audit 工具、独立的 piolium 工具,或两者并排运行于一个父扫描下。模式:lite / balanced / deep
Piolium vigolium agent audit --driver=piolium Pi 原生白盒审计驱动,深度模式下最多 17 个阶段。需要单独安装 pi 运行时和 piolium 插件。
Olium vigolium olium / vigolium ol 交互式 TUI 聊天或一次性非交互式提示,底层 Agent 运行时。

所有面向扫描的模式均支持 --source 进行源代码感知分析,并将会话工件(计划、插件、输出)存储在 ~/.vigolium/agent-sessions/ 下。请参阅设置 Agent 以进行供应商配置。

Agent 模式在无沙箱环境下运行:LLM 对主机具有完整的 shell、文件和网络访问权限,插件可以运行任意命令。请在一次性容器或 VM 中运行 Agent 模式,范围限定在您的参与范围内。开始前请参阅安全警告。

本地扫描

通过 vigolium scan 进行确定性、多阶段漏洞扫描。快速、模块化且可重复,运行内容发现、浏览器爬取、SPA 爬取以及主动/被动动态评估阶段,包含 313 个扫描器模块(198 个主动,115 个被动)。

类别 覆盖范围
注入 XSS(反射型、DOM 型、SSR 水合)、SQL 注入(基于错误、布尔/时间盲注)、NoSQL 注入、SSTI/CSTI、CRLF 注入、命令注入、XXE/SAML、原型污染
访问控制 CSRF、IDOR、授权绕过、批量赋值、禁止绕过、HTTP 方法篡改
文件与路径 LFI、路径遍历、文件上传缺陷、目录列表、备份/敏感文件发现、路径规范化绕过
API 与协议 GraphQL 安全套件(内省、SQLi、IDOR/BOLA、DoS、批处理)、MCP 服务器安全(工具/资源/提示模糊测试、会话与来源检查)、SSRF(直接与盲注)、开放重定向、HTTP 请求走私、JWT 漏洞、JSONP 回调、WebSocket 安全、竞态条件
框架特定 Spring Boot、Django、Laravel、Rails、Express、Next.js、Nuxt、Remix、ASP.NET/Blazor、IIS、Flask、FastAPI
企业及 SaaS 平台 Adobe Experience Manager(调度器绕过、敏感 Servlet、RCE 表面暴露、CVE 探测)、Salesforce Experience Cloud(Aura 对象/记录暴露、访客 Apex 执行、Lightning 调试模式)、ServiceNow(Widget 与 KB 数据暴露)、Microsoft Power Pages(Dataverse Web API 暴露)
CMS WordPress(XML-RPC、用户枚举、AJAX 暴露)、Drupal、Joomla、CMS 安装程序暴露
云与基础设施 Firebase(RTDB、存储、认证、函数)、云存储列表/接管、默认凭据、Web 缓存投毒、CORS 配置错误
外带 通过 OAST 回调的盲漏洞(盲 SSRF、盲 SSTI、OAST 探测)

Vigolium CLI

CLI 是 Vigolium 的核心,通过两种互补模式驱动所有扫描操作:

CLI 亮点

  • 值感知变异:按语义类型对参数值进行分类,并生成智能变异
  • 多阶段管道:外部收集、内容发现、SPA 爬取和审计,由策略预设控制
  • 扫描配置文件:将策略、速度、范围和模块配置打包到单个 YAML 文件中
  • 多种输入格式:URL、OpenAPI/Swagger、Postman、Burp Suite、cURL、Nuclei JSONL
  • 基于浏览器的爬取:Chromium 驱动的爬虫,支持 SPA、表单填充和 JS 分析
  • 多会话身份验证:内联会话、会话文件或完整的身份验证配置,包含登录流程和令牌提取
  • JavaScript 插件:通过嵌入式 JS 引擎实现自定义模块和钩子
  • 源代码感知的 Agent 扫描:将 --sourceswarmautopilotaudit 配对,实现代码上下文感知的 AI 扫描和审计
  • 并发架构:可配置的工作池,支持每主机速率限制和混合队列
  • HTML 报告:自包含的 HTML 报告,包含可排序/可过滤的表格
  • API 服务器模式:REST API,带有 Swagger UI、多格式数据导入、透明 HTTP 代理

Vigolium Workbench

一个自托管的 Web 仪表板,提供用于管理和分析扫描数据的可视化界面。在您自己的基础设施上部署 Workbench,以保持对漏洞数据的完全控制,同时为团队提供直观的方式:

  • 浏览和过滤扫描漏洞发现,按项目显示严重性细分
  • 跟踪跨仓库和扫描历史的漏洞趋势
  • 管理多个项目,支持多租户隔离
  • 查看每个漏洞发现的详细请求/响应证据

Vigolium Cloud Console

一种基于云的解决方案,适用于希望获得 Vigolium 强大功能但无需管理基础设施的团队。Console 是 Vigolium 的升级版、功能完备版本,提供托管扫描、集中报告、团队协作以及在开源核心之上添加的额外功能,让您可以专注于修复漏洞,而不是维护工具。

请访问 console.vigolium.com 查看 Cloud Console。

下一步

我想…… 从这里开始
安装 CLI 并运行我的第一次扫描 快速入门
为任务选择合适的模式 选择扫描模式
运行一次性扫描(CI、临时) 本地扫描与无状态扫描
配置 AI 供应商 设置 Agent
了解本地扫描的工作原理 工作原理
选择合适的扫描策略 策略
深入了解各个扫描阶段 阶段、发现、爬取、审计、插件
尝试 Agent 扫描 Agent 模式
让 AI 自主驱动扫描 Autopilot
运行多阶段 AI + 本地管道 Swarm
深入审计源代码 Agent 安全审计
与 Agent 运行时聊天 Olium
将 Vigolium 作为 API 服务器运行 服务器模式
调整扫描设置 设置
导出和格式化结果 输出与报告
编写自定义 JS 插件 编写插件
浏览 REST API API 概述

如有任何疑问,请随时通过 [email protected] 联系我们。

安装与快速入门:几分钟内启动并运行 Vigolium,安装、验证并运行您的第一次扫描。

下一步

⌘I

网站 Twitter GitHub Discord X LinkedIn

由 Mintlify 构建和托管,一个开发者文档平台

本页内容:关键组件、扫描模式、Agent 扫描、本地扫描、Vigolium CLI、CLI 亮点、Vigolium Workbench、Vigolium Cloud Console、下一步