KI-Integration
Wie Sie den integrierten KI-Assistenten und externe MCP-Tools nutzen, um VDP-Triage, Schweregradbewertung und Forscherkommunikation zu automatisieren.
Warum es wichtig ist
Sicherheits-Triage ist kognitiv anspruchsvolle, repetitive Arbeit. Jede Meldung erfordert eine Scope-Prüfung, Duplikaterkennung, Schweregradbewertung und eine Antwort an den Forscher. KI-Unterstützung reduziert die durchschnittliche Triage-Zeit von Stunden auf Minuten.
Der CSIRT-KI-Agent kann Ihren gesamten Programmstatus lesen, den Schweregrad vorschlagen, Duplikate prüfen und Antworten entwerfen, ohne den Kontext Ihres Workflows zu verlassen. Er arbeitet als Copilot, nicht als Autopilot – jede Schreibaktion erfordert Ihre ausdrückliche Bestätigung, bevor sie ausgeführt wird.
KI-Screening (Automatisch)
Jede eingereichte Meldung wird automatisch bewertet, bevor sie Ihr Triage-Board erreicht. Keine Konfiguration erforderlich – das Screening läuft bei jeder Einreichung.
Der Screener erkennt fünf Kategorien von KI-Slop-Signalen:
| Signal | Was es erkennt |
|---|---|
| Halluzinierte Funktionsnamen | Verweise auf Methoden oder APIs, die in gängigen Frameworks oder der Zielcodebasis nicht existieren |
| Erfundene CVE-Nummern | CVE-IDs, die nicht in der NVD-Datenbank erscheinen, oder Commit-Hashes, die sich nicht auflösen lassen |
| Vager Proof-of-Concept | “Ich kann das auf Anfrage demonstrieren” ohne Reproduktionsschritte, Screenshots oder ausführbaren Exploit |
| Vorlagensprache | Kopierte Struktur aus einer Bug-Bounty-Berichtsvorlage, die auf jedes Ziel anwendbar wäre |
| Übermäßiger Gebrauch von Geviertstrichen | Stilistische Merkmale, die häufig in KI-generierten Inhalten vorkommen: gleichförmige Satzlänge, übermäßige Formatierung, LLM-typisches Vokabular |
Jede Meldung erhält einen Konfidenzwert (0–100) und eine Empfehlung:
| Empfehlung | Bedeutung |
|---|---|
| Pass | Keine Slop-Signale erkannt. Die Meldung wird normal ins Triage-Board aufgenommen. |
| Review | Leichte Signale vorhanden. Die Meldung wird mit einem Warnhinweis ins Triage-Board aufgenommen. |
| Flag | Starke Slop-Signale. Die Meldung wird auf der Triage-Board-Karte mit einem KI-Badge und einer Begründung markiert. |
Markierte Meldungen werden niemals automatisch abgelehnt. Das Screening-Ergebnis und seine Begründung sind in der Meldungsdetailansicht sichtbar, damit Sie die endgültige Entscheidung treffen können. Dies ist nur beratend – das System ist bewusst konservativ, um legitime Forscher nicht fälschlicherweise zu markieren, insbesondere Nicht-Muttersprachler.
CSIRT-KI-Agent
Greifen Sie auf den KI-Assistenten über den Sidebar-Chat zu (das Chat-Symbol in der oberen Navigation). Auf VDP-Seiten lädt der Assistent automatisch den CSIRT-Agenten mit vollem Zugriff auf Ihre Programmdaten.
Der Agent hat Zugriff auf 21 Tools in zwei Kategorien:
- Lese-Tools (15) – Programmstatus, Meldungen, Forscher, Metriken und Finanzdaten abfragen
- Schreib-Tools (6) – Meldungen triagieren, Bewertungen erfassen, Nachrichten senden und Bounties genehmigen
Schreib-Tools erfordern eine Bestätigung. Die KI beschreibt, was sie ausführen wird, und wartet auf Ihre Genehmigung, bevor sie die Aktion durchführt.
Lese-Tools
| Tool | Funktion |
|---|---|
csirt_get_setup_guide |
Programmübersicht mit Meldungszahlen, SLA-Compliance-Prozentsatz und Konfigurations-Checkliste |
csirt_get_program |
Vollständige Programmkonfiguration – alle sieben Einstellungs-Tabs als menschenlesbare Daten dargestellt |
csirt_list_reports |
Filterbare Meldungsliste mit SLA-Indikatoren (Filter nach Status, Schweregrad, Verantwortlichem, SLA-Status) |
csirt_get_report |
Vollständige Meldungsdetails: Bewertung, Nachrichten, Zeitverlauf, Bounty-Vergabe, Forscherprofil |
csirt_get_report_timeline |
Chronologisches Protokoll aller Ereignisse einer Meldung (Statusübergänge, Nachrichten, Bewertungen, Zuweisungen) |
csirt_check_duplicates |
Findet mögliche Duplikate basierend auf übereinstimmendem Endpunkt und Schwachstellentyp |
csirt_validate_scope |
Prüft, ob der betroffene Endpunkt einer Meldung innerhalb des konfigurierten Programm-Scopes liegt |
csirt_suggest_severity |
Gibt den Meldungskontext zusammen mit der Bounty-Matrix zurück, damit die KI den passenden Schweregrad bestimmen kann |
csirt_get_bounty_benchmark |
Historische Bounty-Daten für eine Schweregrad-Stufe oder einen Schwachstellentyp (Median, Durchschnitt, Spanne, aktuelle Beispiele) |
csirt_list_messages |
Vollständiger Nachrichtenverlauf einer Meldung, einschließlich interner Notizen |
csirt_draft_response |
Lädt die passende Liquid-Vorlage mit vorausgefüllten Variablen, damit die KI eine natürliche Antwort an den Forscher entwerfen kann. Dies ist ein Lese-Tool – es bereitet den Kontext vor, sendet aber nichts. Verwenden Sie csirt_send_message zum Senden. |
csirt_get_ledger |
Finanzieller Prüfpfad, filterbar nach Meldung, Eintragstyp und Zeitraum |
csirt_get_metrics |
MTTA, MTTR, SLA-Compliance-Prozentsatz, Meldungen nach Schweregrad und Status, Top-Forscher, Gesamtbounty-Daten |
csirt_get_researcher |
Forscherprofil mit Einreichungsverlauf, Karma-Stufe und insgesamt verdientem Bounty |
csirt_list_researchers |
Filterbares Forscher-Verzeichnis mit Meldungszahlen und Bounty-Summen |
Schreib-Tools
Schreib-Tools erfordern eine ausdrückliche Bestätigung vor der Ausführung. Die KI teilt Ihnen mit, was sie ausführen wird, und Sie müssen die Aktion genehmigen.
| Tool | Funktion |
|---|---|
csirt_triage_report |
Status einer Meldung weiterschalten (z. B. von Submitted zu Triaged) mit optionalem Kommentar |
csirt_assess_report |
CVSS-Vektor und Schweregradbewertung für eine Meldung erfassen |
csirt_dismiss_report |
Meldung ablehnen mit Begründungscode (Out of Scope, Duplikat, nicht reproduzierbar, Spam) und optionaler Notiz |
csirt_assign_report |
Meldung einem Teammitglied zur Untersuchung zuweisen |
csirt_send_message |
Nachricht im Meldungsverlauf senden – extern (für Forscher sichtbar) oder intern (nur für Mitarbeiter) |
csirt_approve_bounty |
Bounty-Betrag für eine gelöste Meldung genehmigen (nur VDP Add-on) |
Alle Schreib-Tools erfordern den Scope mcp_write, wenn sie über externe MCP-Clients aufgerufen werden.
Beispiel-Prompts
Verwenden Sie diese im Sidebar-Chat auf jeder VDP-Seite:
"Zeige mir meine Triage-Warteschlange -- was droht, die SLA zu verletzen?"
"Prüfe Meldung rpt_abc123 auf Duplikate und schlage einen Schweregrad vor."
"Entwirf eine Validierungsantwort für Meldung rpt_abc123, die erklärt, dass wir die SQL Injection bestätigt haben."
"Wie ist unsere SLA-Compliance-Rate in diesem Monat?"
"Liste alle nicht zugewiesenen Critical-Meldungen auf."
"Triagiere Meldung rpt_abc123 zu Validated und weise sie Alice zu."
"Genehmige einen Bounty von 500 $ für Meldung rpt_abc123 -- es handelt sich um eine High-Severity-XSS."
"Zeige mir das Forscherprofil der Person, die rpt_abc123 eingereicht hat."
"Wie sieht die Bounty-Historie für High-Severity-Findings aus?"
Der Assistent nutzt die Lese-Tools, um Kontext zu sammeln, und verwendet die Schreib-Tools, wenn Sie ihn auffordern, eine Aktion auszuführen. Sie können Befehle natürlich verketten – “Prüfe auf Duplikate, schlage einen Schweregrad vor und entwirf eine Antwort” führt drei Tools nacheinander aus.
Verbindung über MCP (Externe Clients)
Für externe KI-Assistenten wie Claude Desktop, Claude Code oder benutzerdefinierte MCP-Agenten sind alle 21 CSIRT-Tools über die MCP-API verfügbar. Schreib-Tools erfordern den Scope mcp_write.
Siehe KI-Assistenten verbinden für Einrichtungsanweisungen, Autorisierungsablauf und Scope-Verwaltung.
Sobald die Verbindung hergestellt ist, hat der externe Client Zugriff auf denselben Tool-Satz wie der integrierte Sidebar-Chat. Beginnen Sie mit csirt_get_setup_guide, um einen Überblick über Ihr Programm zu erhalten, bevor Sie andere Tools verwenden.
llms.txt-Endpunkt
Ihr Sicherheitsportal stellt automatisch eine maschinenlesbare Beschreibung unter /llms.txt bereit. Diese folgt dem llms.txt-Standard und bietet KI-Assistenten strukturierten Kontext über Ihr Vulnerability-Disclosure-Programm – Scope, Teilnahmeregeln und Einreichungsrichtlinien. Keine Konfiguration erforderlich; die Datei wird automatisch aktualisiert, wenn Sie Ihre Programmeinstellungen ändern.
Schnellcheckliste
- Öffnen Sie eine Meldung und nutzen Sie die KI-Sidebar, um “Auf Duplikate prüfen” auszuprobieren
- Fragen Sie den Assistenten “Wie ist unsere SLA-Compliance in diesem Monat?” vom VDP-Dashboard aus
- Probieren Sie “Entwirf eine Ablehnungsantwort” bei einer Out-of-Scope-Meldung
- Überprüfen Sie das KI-Screening-Badge bei einer markierten Meldung, um zu verstehen, was es ausgelöst hat
- Verbinden Sie einen externen MCP-Client und rufen Sie
csirt_get_setup_guideauf, um den Zugriff zu verifizieren - Lesen Sie Meldungen triagieren für den vollständigen Triage-Workflow, den diese Tools unterstützen