Intégration IA
Comment utiliser l'assistant IA intégré et les outils MCP externes pour automatiser le triage VDP, l'évaluation de la sévérité et la communication avec les chercheurs.
Pourquoi c’est important
Le triage de sécurité est un travail répétitif à forte charge cognitive. Chaque rapport nécessite une vérification du périmètre, une détection des doublons, une évaluation de la sévérité et une réponse au chercheur. L’assistance IA réduit le temps moyen de triage de plusieurs heures à quelques minutes.
L’agent IA CSIRT peut lire l’ensemble de l’état de votre programme, suggérer une sévérité, vérifier les doublons et rédiger des réponses sans quitter le contexte de votre flux de travail. Il fonctionne comme un copilote, pas comme un autopilote — chaque action d’écriture nécessite votre confirmation explicite avant exécution.
Filtrage IA (automatique)
Chaque rapport soumis est noté automatiquement avant d’atteindre votre tableau de triage. Aucune configuration requise — le filtrage s’exécute à chaque soumission.
Le filtre détecte cinq catégories de signaux de contenu IA de mauvaise qualité :
| Signal | Ce qu’il détecte |
|---|---|
| Noms de fonctions hallucinés | Références à des méthodes ou API qui n’existent pas dans les frameworks courants ou le code cible |
| Numéros CVE fabriqués | Identifiants CVE absents de la base NVD, ou hash de commits qui ne résolvent pas |
| Preuve de concept vague | « Je peux le démontrer sur demande » sans étapes de reproduction, captures d’écran ni exploit exécutable |
| Langage de modèle | Structure copiée-collée depuis un modèle de rapport de bug bounty applicable à n’importe quelle cible |
| Prose saturée de tirets cadratins | Marqueurs stylistiques courants dans le contenu généré par IA : longueur de phrase uniforme, formatage excessif, vocabulaire typique des LLM |
Chaque rapport reçoit un score de confiance (0–100) et une recommandation :
| Recommandation | Signification |
|---|---|
| Passe | Aucun signal détecté. Le rapport entre normalement dans le tableau de triage. |
| Examen | Signaux légers présents. Le rapport entre dans le tableau de triage avec un badge d’avertissement. |
| Signalé | Signaux forts. Le rapport est signalé sur la carte du tableau de triage avec un badge IA et une explication. |
Les rapports signalés ne sont jamais rejetés automatiquement. Le résultat du filtrage et son raisonnement sont visibles sur la vue détaillée du rapport afin que vous puissiez prendre la décision finale. Il s’agit uniquement d’un avis consultatif — le système est intentionnellement conservateur pour éviter de signaler à tort des chercheurs légitimes, en particulier ceux dont l’anglais n’est pas la langue maternelle.
Agent IA CSIRT
Accédez à l’assistant IA via le chat dans la barre latérale (l’icône de chat dans la navigation supérieure). Sur les pages VDP, l’assistant charge automatiquement l’agent CSIRT avec un accès complet aux données de votre programme.
L’agent dispose de 21 outils répartis en deux catégories :
- Outils de lecture (15) — interroger l’état du programme, les rapports, les chercheurs, les métriques et les données financières
- Outils d’écriture (6) — trier les rapports, enregistrer des évaluations, envoyer des messages et approuver des primes
Les outils d’écriture nécessitent une confirmation. L’IA décrira ce qu’elle s’apprête à faire et attendra votre approbation avant d’exécuter l’action.
Outils de lecture
| Outil | Ce qu’il fait |
|---|---|
csirt_get_setup_guide |
Vue d’ensemble du programme avec le nombre de rapports, le pourcentage de conformité SLA et la liste de contrôle de complétude de la configuration |
csirt_get_program |
Configuration complète du programme — les sept onglets de paramètres rendus sous forme de données lisibles |
csirt_list_reports |
Liste filtrable des rapports avec indicateurs SLA (filtre par statut, sévérité, assigné, état SLA) |
csirt_get_report |
Détail complet du rapport : évaluation, messages, chronologie, prime attribuée, profil du chercheur |
csirt_get_report_timeline |
Journal chronologique de chaque événement sur un rapport (transitions de statut, messages, évaluations, assignations) |
csirt_check_duplicates |
Trouve les doublons potentiels en fonction du endpoint et du type de vulnérabilité correspondants |
csirt_validate_scope |
Vérifie si le endpoint affecté d’un rapport se trouve dans le périmètre configuré du programme |
csirt_suggest_severity |
Renvoie le contexte du rapport avec la matrice de primes pour que l’IA puisse raisonner sur la sévérité appropriée |
csirt_get_bounty_benchmark |
Données historiques des primes pour un niveau de sévérité ou un type de vulnérabilité (médiane, moyenne, fourchette, exemples récents) |
csirt_list_messages |
Fil de messages complet d’un rapport, y compris les notes internes |
csirt_draft_response |
Charge le modèle Liquid correspondant avec les variables pré-remplies pour que l’IA puisse rédiger une réponse naturelle au chercheur. C’est un outil de lecture — il prépare le contexte mais n’envoie rien. Utilisez csirt_send_message pour envoyer. |
csirt_get_ledger |
Piste d’audit financière, filtrable par rapport, type d’entrée et plage de dates |
csirt_get_metrics |
MTTA, MTTR, pourcentage de conformité SLA, rapports par sévérité et statut, meilleurs chercheurs, données totales des primes |
csirt_get_researcher |
Profil du chercheur avec historique des soumissions, niveau de karma et total des primes perçues |
csirt_list_researchers |
Répertoire filtrable des chercheurs avec nombre de rapports et totaux des primes |
Outils d’écriture
Les outils d’écriture nécessitent une confirmation explicite avant exécution. L’IA vous indiquera ce qu’elle s’apprête à faire, et vous devrez approuver l’action.
| Outil | Ce qu’il fait |
|---|---|
csirt_triage_report |
Faire avancer le statut d’un rapport (par ex., de Soumis à Trié) avec un commentaire optionnel |
csirt_assess_report |
Enregistrer un vecteur CVSS et une évaluation de sévérité sur un rapport |
csirt_dismiss_report |
Rejeter un rapport avec un code de motif (hors périmètre, doublon, non reproductible, spam) et une note optionnelle |
csirt_assign_report |
Assigner un rapport à un membre de l’équipe pour investigation |
csirt_send_message |
Envoyer un message dans le fil du rapport — externe (visible par le chercheur) ou interne (équipe uniquement) |
csirt_approve_bounty |
Approuver un montant de prime pour un rapport résolu (VDP Add-on uniquement) |
Tous les outils d’écriture nécessitent le scope mcp_write lorsqu’ils sont accédés via des clients MCP externes.
Exemples de prompts
Utilisez-les dans le chat de la barre latérale sur n’importe quelle page VDP :
"Montre-moi ma file de triage — qu'est-ce qui risque de dépasser le SLA ?"
"Vérifie le rapport rpt_abc123 pour les doublons et suggère une sévérité."
"Rédige une réponse de validation pour le rapport rpt_abc123 expliquant que nous avons confirmé l'injection SQL."
"Quel est notre taux de conformité SLA ce mois-ci ?"
"Liste tous les rapports Critiques non assignés."
"Trie le rapport rpt_abc123 vers Validé et assigne-le à Alice."
"Approuve une prime de 500 $ pour le rapport rpt_abc123 — c'est un XSS de sévérité Élevée."
"Montre-moi le profil du chercheur qui a soumis le rapport rpt_abc123."
"À quoi ressemble l'historique des primes pour les découvertes de sévérité Élevée ?"
L’assistant utilise les outils de lecture pour rassembler le contexte, puis utilise les outils d’écriture lorsque vous lui demandez d’agir. Vous pouvez enchaîner les commandes naturellement — « vérifie les doublons, suggère une sévérité et rédige une réponse » exécute trois outils en séquence.
Connexion via MCP (clients externes)
Pour les assistants IA externes comme Claude Desktop, Claude Code ou des agents MCP personnalisés, les 21 outils CSIRT sont disponibles via l’API MCP. Les outils d’écriture nécessitent le scope mcp_write.
Consultez Connexion des assistants IA pour les instructions de configuration, le flux d’autorisation et la gestion des scopes.
Une fois connecté, le client externe a accès au même ensemble d’outils que le chat intégré dans la barre latérale. Commencez par csirt_get_setup_guide pour obtenir une vue d’ensemble de votre programme avant d’utiliser les autres outils.
Endpoint llms.txt
Votre portail de sécurité sert automatiquement une description lisible par les machines à l’adresse /llms.txt. Celle-ci suit le standard llms.txt et fournit aux assistants IA un contexte structuré sur votre programme de divulgation de vulnérabilités — périmètre, règles d’engagement et consignes de soumission. Aucune configuration nécessaire ; le contenu se met à jour automatiquement lorsque vous modifiez les paramètres de votre programme.
Liste de contrôle rapide
- Ouvrez un rapport et utilisez le chat IA dans la barre latérale pour essayer « Vérifier les doublons »
- Demandez à l’assistant « Quel est notre taux de conformité SLA ce mois-ci ? » depuis le tableau de bord VDP
- Essayez « Rédige une réponse de rejet » sur un rapport hors périmètre
- Examinez le badge de filtrage IA sur n’importe quel rapport signalé pour comprendre ce qui l’a déclenché
- Connectez un client MCP externe et appelez
csirt_get_setup_guidepour vérifier l’accès - Lisez Triage des rapports pour le flux de triage complet que ces outils prennent en charge