Cygent 正式上线：你团队的新 AI 安全工程师

Travis Montgomery

Cygent 上线了：见见你团队的新 AI 安全工程师

Cygent 是一位 AI 安全工程师，它可以发现你智能合约中的漏洞、编写修复代码，并发起 PR。不再需要 PDF 和手动分类处理。

Cygent 上线了：见见你团队的新 AI 安全工程师

多年来，Web3 安全工具一直陷在同一个失灵的循环里。 运行扫描器、阅读 PDF，然后自己修复所有问题。今天，我们发布了解决方案。Cygent 现已上线，而且它不仅能发现你智能合约中的漏洞，还能学习你的代码库，与开发人员并肩协作，并编写 PR 来修复它发现的问题。

发现漏洞。自动编写 PR。安全发布。

介绍 Cygent，你的专属 AI 安全工程师 Cyfrin 审计

目录

• 问题所在
• Cygent 是什么
• 它是如何工作的
• 功能与集成
• 适用对象
• 今日上线内容
• 我们为什么要构建它
• 开始使用

问题所在

Web3 开发的速度已经超过了安全能够跟上的步伐。而那些本该提供帮助的工具呢？多年来，它们一直在做同样的事：制造噪音，然后把问题留给你自己处理。

以下是大多数团队目前陷入的循环：

1. 你运行静态分析器或 CI/CD 安全检查。
2. 它吐出一份 50 页的 PDF，或者更糟——一个满是发现结果的仪表板，其中很大一部分还是误报。
3. 你的开发人员不得不停下手头正在做的事，花上数小时甚至数天来分类处理发现结果、梳理根本原因并编写修复程序。
4. 在修补一个漏洞的过程中，他们又引入了新的漏洞。
5. 到下一个 Sprint 再重复一遍。

扫描器噪音很大。 传统工具给你一份问题清单，然后就不管了。它们不了解你的具体协议背景，不会跟踪你团队过去的安全决策，也不知道你三周前就已经接受了某个特定发现结果的风险。

修复速度缓慢。 发现漏洞只完成了 10% 的战斗。安全、正确地修复它，并且不破坏其他任何东西，才是剩下的 90%。而现在，这 90% 完全依赖手动完成。

上下文丢失。 安全存在于仪表板和 PDF 中。开发人员则活跃在 IDE、GitHub 和 Slack 中。“这里有问题”和“这是修复程序，已合并并部署”之间的鸿沟，正是时间、金钱和安全性被消耗殆尽的地方。

结果呢？安全变成了拖慢发布速度的瓶颈。 团队开始偷工减料。PR 在没有审查的情况下就被合并，因为安全积压工作已经堆了好几周。本应几分钟内就能修复的漏洞，却会挂上好几天。

仅在 2024 年，Web3 就因黑客攻击和漏洞利用损失了超过 17 亿美元。问题不在于我们找不到漏洞，而在于从发现漏洞到修复漏洞之间的距离依然长得离谱。

Cygent 是什么

Cygent 是一位加入你团队的 AI 安全工程师。 它不是仪表板，不是扫描器，也不是另一个 PDF 生成器。它是你工程组织中真正能干活的一员：发现漏洞、编写修复代码、验证构建并发起 PR，而这一切只需要一条聊天消息。

旧的方式：“运行脚本，阅读 PDF，自己想办法修复。”

Cygent 的方式：“我在 Vault.sol 中发现了一个重入漏洞。我编写了修复程序，验证了构建，并发起了一个 PR。要合并吗？”

Cygent 由 CARA (Cyfrin Audit & Review Assistant) 提供支持，这是 Cyfrin 专有的审计引擎。CARA 会对智能合约代码库进行深度安全分析，检测重入漏洞、访问控制问题、输入验证缺陷、预言机操纵风险、MEV 暴露、Gas 优化机会等。

但 CARA 只是检测层。真正让 Cygent 与众不同的，是发现结果生成之后发生的一切。Cygent 不会丢给你一份报告就消失，而是接管整个修复生命周期：发现、分类处理、代码生成、构建验证、PR。就像你团队里的高级安全工程师那样。

它还会边工作边学习。 Cygent 会在对话、项目和团队成员之间保留持久记忆。它记得你团队接受过的风险、过去的架构决策、特定的编码规范，以及每次先前交互的上下文。它与你团队协作得越久，就越了解你的代码库，就像真正的工程师一样。

这里还有一点，甚至连我们自己都感到惊讶：Cygent 的能力已经足以帮助构建它自己。 我们在内部用 Cygent 来审计它自己的更新、修复它自己的漏洞，并发起它自己的 PR。它不仅仅是我们发布的一款工具，还是我们代码库每天都在积极贡献的一员。

它是如何工作的

Cygent 的工作流程模拟了一位高级安全工程师在你团队中的运作方式：入职、审查、沟通、执行、迭代。

生命周期

1. 入职 (Onboard) — 通过 Cygent GitHub App 将 Cygent 连接到你的 GitHub 仓库。通过 MCP 将其集成到 Slack、Discord、Telegram 和你的 IDE 中。每个团队都会获得一个完全隔离的实例，拥有自己的仓库、集成和配置。

2. 自动评审 (Auto-Review) — 每当连接仓库中有新的 PR 打开时，Cygent 都会针对改动的代码执行定向安全评审。它会在 GitHub 上以内联方式将发现结果分成三类：由 PR 引入的新问题、此前就存在且仍然存在的问题，以及被 PR 修复的已解决问题。不再需要猜测哪些是新问题，哪些原本就存在。

3. 聊天 (Chat) — 像对待其他同事一样给 Cygent 发消息。在 Slack、Discord 或 Telegram 中用自然语言 @ 它：“嘿，修复 Vault.sol 中的所有高危发现”、“H-1 发现的状态是什么？” 或 “修复 withdraw() 中的重入问题。” Cygent 会使用语义匹配来理解你指的是哪些发现，无论你用的是 ID、标题关键词还是自然语言描述。

4. 执行 (Execute) — 这正是 Cygent 与市场上其他工具拉开差距的地方。当你要求它修复某个问题时，它不会只是给你一个建议然后让你自己处理。它会生成实施计划，向你展示它打算执行的具体操作，等待你的批准，然后编写 Solidity 代码、运行构建验证，并在功能分支上发起 GitHub PR。你还可以在对话中继续迭代：“还要添加一个 natspec 注释” 或 “不要更改公共接口。” Cygent 会据此调整。

5. 合并 (Merge) — 你像审查其他工程师提交的 PR 一样审查它的 PR。干净、安全的代码，合并并发布。

不仅仅是漏洞修复

作为核心的 AI 编码 Agent，Cygent Code 不仅限于修复安全发现。它能处理完整范围的代码工作：

• 修复审计发现 — 单个或批量修复（“修复所有严重发现”、“修复发现 H-1”）
• 构建新功能 — 从零开始实现功能，从智能合约到全栈应用
• 重构与改进 — 重构代码、添加测试、提升 Gas 效率、更新依赖项
• 创建新项目 — 根据描述搭建全新的代码库、合约和前端
• 探索仓库 — 在不做任何改动的情况下分析项目结构、依赖关系和代码模式

每一个动作都遵循同样的“计划 → 评审 → 执行 → PR”循环。在任何内容被提交之前，你始终都在流程之中。

功能与集成

Cygent 不是另一个你还得专门去查看的仪表板。它就存在于你的开发人员已经在工作的地方。

Slack — 最深度的集成

Cygent 会作为完整的团队成员加入你的 Slack 工作区。

• 在任何频道中 @mention 它，发起自然语言请求 —— 提问、触发审计、请求代码修复、查询发现结果
• 斜杠命令 —— 用于带确认对话框的结构化操作
• 主页标签 —— 在侧边栏点击 Cygent，即可查看包含项目、最近作业、发现数量和快捷操作的仪表板视图
• 线程对话 —— Cygent 会记住线程内的上下文，以便围绕代码、发现和修复进行多轮讨论
• 智能介入 —— Cygent 会监控频道，并在掌握有用上下文时自动参与与安全相关的讨论，同时配有参与度评分机制，因此它只会在确实有价值可说时才发言

Discord & Telegram

功能完整的机器人集成，具备与 Slack 相同的核心能力：@mentions、命令、富文本格式、交互式按钮、线程对话和智能介入。你的团队用 Telegram？Cygent 可以在那里工作。用 Discord？也一样。无论平台如何，功能都不打折扣。

GitHub — 深度、由 Webhook 驱动的集成

• 自动化 PR 评审，直接在 PR 上添加内联评论
• GitHub Issue 管理 —— 对高于可配置严重性阈值的发现自动创建 Issue，并附带完整上下文，包括描述、根本原因、建议和受影响代码
• 双向状态同步 —— 关闭 GitHub Issue 或评论 /cygent fixed，发现状态就会自动更新
• 分支管理 —— Cygent Code 会直接创建功能分支并发起 PR
• 从 GitHub 触发评审 —— 在任何 PR 上评论 /cygent 即可启动评审

Google Meet — 是的，真的

Cygent 会加入你的视频会议。

你可以从 Slack 或任何已连接的平台邀请它加入 Google Meet。它会通过实时转录来听取架构讨论，在被点名时用语音回应，回答安全问题，提供建议，并在会议聊天中补充细节（代码引用、链接）。通话结束后，它会生成摘要并发布到你团队的 Slack 频道，还会向相关参与者发送单独的跟进私信。

它只会在被明确点名时发言，不会打断自然对话。

MCP / IDE 集成 — 编码时的内联安全

将 Cygent 直接连接到你的 IDE，无需离开编辑器即可进行安全分析。

支持的客户端： Claude Code、OpenAI Codex、Cursor、VS Code (GitHub Copilot)、Windsurf、Zed，以及任何兼容 MCP 的客户端。

在 IDE 中，你可以列出项目、按严重程度浏览发现、以内联方式分类处理发现、从代码评审中添加新发现、即时分析 Solidity 代码中的漏洞，以及轮询正在运行的审计状态。你 IDE 的 AI Agent 会根据自然语言自动组合 Cygent 的功能。只要描述你想做什么，Agent 就会编排出正确的动作序列。

默认企业级

• 按 SOC2 标准构建 —— 当你在构建安全工具时，安全本身就不是可选项
• 完全隔离的实例 —— 每个团队都有自己的仓库、集成、配置和记忆
• 基于角色的访问控制 —— 设有拥有适当权限的 Owner 和 Member 角色
• 团队管理 —— 可通过电子邮件邀请成员、管理角色并控制访问权限

计划任务 — 自动化重复性工作

用自然语言设置任何提示按周期运行：“安排每周一美国东部时间上午 9 点对 my-repo 进行审计” 或 “每天下午 3:30 进行 DeFi 威胁监控。” Cygent 支持时区感知调度、自定义输出格式、可配置通知，并会在连续三次失败后自动暂停任务，以避免制造噪音。

你可以直接从 Slack 管理一切：“列出我的计划任务”、“暂停每周审计”、“现在运行。”

发现管理 — 从发现到解决

发现结果是核心输出，Cygent 为你提供了一整套全面的管理工具：

• 生命周期跟踪 —— 活跃 (Active)、已解决 (Resolved)、无效 (Invalid，附原因的误报) 或已删除 (Deleted，软删除，可恢复)
• 批量操作 —— 一次性分类处理多个发现
• 手动发现 —— 添加在自动化分析之外发现的问题
• 过滤与搜索 —— 可按严重程度、状态、标题、描述或代码位置筛选
• CSV 导出 —— 在需要时导出数据
• 可下载的 HTML 报告 —— 格式化的审计报告，包含所有发现、严重程度细分和建议，适合与利益相关者、投资者或合规团队分享

真正有效的记忆

• 跨对话上下文 —— Cygent 能跨频道和平台记住过去的对话、决策和笔记
• 语义搜索 —— 即使你换了种说法，也能找到相关的历史上下文
• 审计员笔记 —— 可在对话中保存笔记（“记住我们接受了 H-2 的风险”），这些笔记会在不同会话间持续保留
• 项目级知识 —— 持续掌握每个项目的架构、模式和历史

Web 搜索与 Git 操作

• 实时 Web 搜索 —— 询问当前漏洞、EIP、协议文档或任何主题
• URL 分析 —— 分享一个链接，Cygent 就会分析、总结或提取相关信息
• Git 查询 —— 提交历史、分支状态、diff、blame 及其他只读操作
• 安全脚本执行 —— 运行构建、lint、测试和类型检查脚本，并自动检测包管理器 (npm, yarn, pnpm, bun)

适用对象

智能合约开发团队，他们已经厌倦了安全拖慢发布节奏。如果你的开发人员花在分类处理扫描器输出上的时间比写代码还多，Cygent 会把这些时间还给他们。

协议团队，他们需要的是持续的安全监控，而不是一次性的审计。Cygent 会自动评审每个 PR，并在正式审计之间持续守护，随着代码变更捕捉回归问题和新漏洞。

安全研究员和审计机构，他们希望用 AI 辅助分析来增强工作流程。把 Cygent 当作效率倍增器，让它处理初始分类、生成报告和管理发现，而审计员则专注于那些需要人类直觉的复杂、创造性漏洞研究。

任何在链上构建的团队，如果你已经意识到安全不应该是开发末尾才做的一个阶段，它就应该嵌入每个 PR、每次站会、每个架构决策之中。Cygent 让这一点成为可能，而无需再额外雇佣三名安全工程师。

今日上线内容

Cygent 已上线，并可通过白名单申请流程获取。以下是今天发布的内容：

• 由 CARA 提供支持的完整安全审计，具备严重性分类、实时进度跟踪和范围分析
• 带有三向分类和 GitHub 内联评论的自动化 PR 评审
• Cygent Code —— 可通过对话修复发现、构建功能并发起 PR 的 AI 编码 Agent
• 完整的集成套件 —— Slack、Discord、Telegram、GitHub、Google Meet，以及对 Claude Code、Codex、Cursor、VS Code、Windsurf 和 Zed 的 MCP/IDE 支持
• 具备完整生命周期跟踪、GitHub Issue 同步、批量操作和 CSV 导出的发现管理
• 具备自然语言调度和时区支持的计划任务
• 具备跨对话上下文、语义搜索和审计员笔记的持久记忆
• 面向利益相关者和合规需求的可下载 HTML 报告
• 用于实时安全上下文的 Web 搜索和 URL 分析
• 为满足 SOC2 标准而构建的多租户隔离实例

这不是一个一半功能都还是灰色不可用的 Beta 版。这就是完整产品，已经上线并正常运行。 我们自己每天都在使用它来构建和保护自己的代码库。

我们为什么要构建它

我们在智能合约安全行业深耕已久，深知其中的痛点。在 Cyfrin，我们审计过 DeFi 中一些最关键的协议。每一次，我们都看到同样的模式反复上演：

我们交付一份详尽的审计报告，团队读完之后，接着要花上数周、有时甚至数月来推进修复工作。本该一个下午就修好的发现结果，被卡在积压事项里。审计员建议与开发人员实现之间的上下文逐渐丢失。修复过程中，新的漏洞又悄悄溜了进来。

审计不是瓶颈，修复才是。

我们构建 Cygent，是因为我们厌倦了看着安全拖慢团队节奏。厌倦了看着本来很有价值的发现，因为负责修复的开发人员不得不在 PDF、代码库和测试套件之间来回切换上下文，而迟迟得不到解决。也厌倦了“这里是漏洞”和“这里是修复，已合并到 main 分支”之间那道鸿沟。

Cygent 填上了这道鸿沟。不是靠更好的仪表板，也不是靠更漂亮的报告，而是靠一位真正把工作做完的 AI 工程师。

而 Cygent 足够优秀，甚至能帮助构建它自己，这一点并不只是营销口号。这是我们最有力的工作证明。每天，Cygent 都会审计它自己的更新、修复它自己的漏洞，并针对 Cyfrin 代码库发起它自己的 PR。当我们说它表现得像一位真正的安全工程师时，我们说的是字面意义上的事实。

安全不该拖慢你的速度，它应该随着你一起扩展。

开始使用

Cygent 已上线，目前正通过白名单申请接收团队。

现在就申请，雇佣你的新 AI 安全工程师： https://cyfrin.typeform.com/to/lQXkqegu

一旦通过，你将获得：

• 一个为你的团队配置好的、完全隔离的 Cygent 实例
• 引导式入职支持，帮助你连接 GitHub 仓库、Slack 工作区和偏好的集成
• 针对你所选 IDE 的 MCP 设置指南
• 访问 Web 仪表板，用于管理审计、发现、计划任务和团队设置

别再浪费几天时间去手动分类处理 PDF 和修补样板化漏洞了。别再把安全当成最后才做的一个阶段。让 AI 接管修复工作，让你的团队重新专注于构建。

发现漏洞。自动编写 PR。安全发布。

👉 申请白名单

• 原文链接： cyfrin.io/blog/announcin...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～