导语：VVAH（Visa Vulnerability Agentic Harness）是由支付巨头 Visa 开源的 AI 漏洞挖掘工具，基于 Anthropic Project Glasswing 经验设计，支持多模型协同工作，帮助安全团队将漏洞发现效率提升至传统方法的数倍。

工具背景

VVAH 起源于 Visa 内部安全研究团队与 Anthropic 的合作项目 Project Glasswing，旨在探索如何利用前沿 AI 模型进行自动化漏洞发现与验证。该工具的设计理念是：漏洞管理的瓶颈在于分类速度，而非发现速度，因此 VVAH 整个架构都围绕快速分类和可操作输出展开。

Visa 将其开源，希望安全社区能够受益于这一企业级漏洞挖掘框架，同时通过多模型投票机制降低误报率。

核心能力

截图展示

演示视频

https://www.youtube.com/watch?v=dQw4w9WgXcQ

暂无官方演示视频，上方为占位符，实际发布时请替换为官方视频链接

系统要求

| 项目 | 要求 | |——|——| | Python | ≥ 3.10 | | 凭证 | Claude Code 登录 / ANTHROPIC_SDK_API_KEY / OPENAI_API_KEY | | 依赖 | claude CLI（默认配置必需） | | 安装方式 | pip / pipx / venv | | 系统 | macOS / Linux / Windows |

快速安装

# macOS / Linux
python3 -m venv .venv
source .venv/bin/activate
pip install .
或使用 pipx 隔离安装
pipx install .
Windows PowerShell
python -m venv .venv
..venvScriptsActivate.ps1
pip install .

基础使用

# 检查环境
vvaharness doctor
预估扫描范围和成本
vvaharness estimate --repo /path/to/target
执行扫描
vvaharness scan --repo /path/to/target --application-id 12345
批量扫描
vvaharness scan --repo-file repos.csv --workspace ./scans --group-by-app --keep-clones

版权声明

VVAH 由 Visa, Inc. 开发并开源，采用 Apache License 2.0 许可证。

⚠️ 授权使用声明：本工具仅用于您拥有或已获得明确授权测试的代码仓库。AI 生成的漏洞发现仅为候选结果，需人工复核确认。