配置指引
- 先在「组织设置」配置 BYOK 大模型 Key(否则扫描无法调用 LLM)
- 在「组织设置 → 授权域」填写允许扫描的域名与 授权引用
- 在「组织设置 → CSE 扫描引擎」调整扫描深度与验证强度(可选)
- 到「认知推理」提交目标 URL(AI 假设生成 + 在线证实),或在「Agent 会话」用自然语言驱动
Cloud 档位 · 配额
平台状态
引擎 · MCP · Agent 会话 · 配额快照 · GET /v1/platform/status
加载中…
自进化与 Agent 成本
RAG / Playbook / Planner 缓存命中率 · Token 预算 · 每 confirmed finding Token 比
加载中…
授权靶场月度回归
固定 Juice / DVWA / Fixtures 等 E2E · GET /v1/regression/monthly
加载中…
用量与账单
本月 vs 上月对比 · 订阅档位与套餐预估
加载中…
套餐配额消耗(本月)
本月 vs 上月用量对比
本月
上月
LLM 请求类型分布
本月账单明细
快捷入口
一键跳转到常用功能
组织信息
推理前请确认
- 目标 URL 须在「组织设置 → 授权域」内;授权引用须一致
- 任务经 AI 认知推理 + 在线探测 证实;仅「运行中」可取消
| ID | 目标 | 状态 | 进度 | 操作 |
|---|
配置说明
- BYOK 大模型:OpenAI 兼容 Key,保存后加密存储
- 授权域:允许扫描的域名 + 授权引用
- 认知 Agent / CSE 扫描引擎:Token 预算、扫描深度与验证强度(推荐优先配置)
扫描前置
大模型接入
未配置尚未保存 API Key
留空使用官方兼容端点;自建或代理服务请填写完整 Base URL
如 gpt-4o-mini、gpt-4o;留空使用平台默认
扫描授权域
未配置查看授权域 JSON 预览
认知引擎
Agent 认知 Agent 高级配置
Token 预算 · Planner 缓存 · 经验库 RAG · 多 Agent 分工
CSE 扫描引擎
配置 CSE 引擎扫描深度与验证强度;新任务默认使用此配置,不影响已在队列中的任务。
快捷档位
控制攻击面测绘与在线探测对目标网站的访问频率,默认「无感」
CSE 多轮认知扫描(1–5 轮);轮数越多覆盖面越广,耗时与 Token 用量增加
优先纳入分析的 Web 攻击面数量(4–12);数值越大映射越细
企业与品牌
Cloud 订阅
沙箱升级档位解锁更高配额;支付由 Stripe 托管,完成后自动同步订阅状态。
订阅状态
加载中…
套餐配额由 Cloud 档位决定;平台管理员可在「企业管理」为组织自定义覆盖。
Console 白标
Branding企业 SSO
OIDC / SAMLSAML 2.0(可选)
运维集成
运维 Webhook
Opsquota.warning(同资源每月去重)
出站代理池
增值 · 标准档+对外扫描/探测遇 IP 封禁时,经第三方代理池(如快代理)轮换出站 IP。仅作用于扫描证实与 Agent 探测,不影响大模型与运维通知。
留空表示不修改已保存密钥
每行一条,如
未配置
http://user:pass@host:port
怎么用 Agent?
- 点「新建会话」,填写目标 URL 与授权引用(须与组织授权域一致)
- 需登录态扫描时,展开「认证态」填写 Cookie/Header,或使用
login_formTool - 创建后点「对话」,输入例如:请扫描登录页逻辑漏洞 或 建模业务流并探测 admin 角色
- 智能体会先用大模型理解意图再选 Tool;对话区只显示交流,工具结果在「会话成果」折叠卡片中
| ID | 目标 | 状态 | 轮次 | 工具 | 大模型 Token |
|---|
手动试调用工具
优先在此调试 Tool;会话 ID 可从「Agent 会话」列表复制,或在打开会话时自动填入。
sess_ 开头的 ID 示例:{"url":"https://example.com"} 或 {"page_html":"<html>..."}原始 JSON 响应
内置 Tool 目录
共 — 个 Tool(含 scan_target、login_form、autonomous_assess 等)。
可用工具列表
| 名称 | 说明 |
|---|
TSecBench 第三方跑分(XBOW Validation)
- 填写平台下发的 BENCHMARK_TOKEN 与 Base URL
- 上传 .ovpn VPN 配置 → 点「连接 VPN」或 macOS Tunnelblick 手动连接
- 点「测试连通」确认 VPN + Token →「开始调试跑分」
- AI 模式:跑分使用大模型规划 Tool + 研判(需 BYOK);CTF 需多步 exploit,0 flag 仍常见
平台与 VPN 配置
平台配置
SDKToken —
VPN 文件 —
VPN 连接 —
VPN 配置
OpenVPN上传平台下发的 .ovpn(含证书,仅存于本机 CSE 数据目录,加密权限 600)
点击或拖拽上传 .ovpn
未上传
跑分任务
进度 = 已尝试题数(非得分);Flag = 正确 / 提交。AI 模式:LLM 规划 → HTTP/IDOR → autonomous_assess → 专项探测
| ID | 状态 | 已尝试 | 正确/提交 | 开始 |
|---|
| 时间 | 操作 | 操作者 | 对象 | 详情 | 来源 IP |
|---|
操作说明
- 审核:选中左侧组织 → 右侧面板「批准」或修改状态为「已审核」
- Cloud 档位(管理员):右侧面板修改「Cloud 档位」→「应用更改」;或 Stripe 由企业在「组织设置 → Cloud 订阅」自助升级
- 档位配额:沙箱 50 扫描/月 · 标准 1000 · 企业 10000(会话与限流同步提升)
- 生产环境在
.env.prod配置CSE_ADMIN_TOKEN,并在下方保存 Token
加载中…
| 组织 | 联系邮箱 | 状态 | 档位 | 扫描 | 会话 |
|---|
注册后会发生什么?
- 系统自动生成 API Key,请立即复制保存(仅显示一次)
- 组织默认为 sandbox 档,可扫描 example.com 等演示域
- 管理员在「企业管理」批准后,可配置正式业务域名并升级档位
对外显示名称
营业执照上的全称
用于接收审核通知
Key 使用须知
- Key 明文仅显示一次;请求头
Authorization: Bearer <Key> - 泄露后立即吊销并新建
| ID | 名称 | 类型 | 创建时间 |
|---|