一份漏洞情报摆在眼前,没有云、没有外网、没有环境——你的分析能从何开始?安全分析师面对的困境是:原始漏洞细节往往藏在上百页的技术文档里,而真正能拿来就用的本地化工具少之又少。CVE-2026-20127 Defensive Companion 这款浏览器扩展试图把这个过程压缩成一个离线实验环境,让防御端的研究人员直接从侧边栏进入数据包结构和认证流程的拆解现场。

这款工具走的是完全离线路线,清单 V3 架构、零外部应用程序接口调用、严格的内容安全策略,权限仅限活动标签页、侧边面板和本地存储。它的核心是一套被切割成 17 个 JSON 情报域的自然语言知识引擎,所有答案都来自对原始漏洞研究报告的解析,而非任何外部查询。团队做这件事的逻辑很明确:安全运营中心的分析师需要一个不暴露运营数据的沙盒,而任何云依赖都可能把这个沙盒的墙打破。

打开网易新闻 查看精彩图片

打开侧边面板,交互式协议浏览器首先呈现的是合法与恶意两种数据包传输层安全握手序列的对比。被标注出来的位置是 vbond_proc_challenge_ack_ack() 函数在地址 0x38AB7 处的内存损坏点——这是思科催化系列软件定义广域网控制器(vSmart)认证绕过漏洞的关键所在。协议图用状态转换的方式标出了攻击路径,同时数据包解剖查看器把伪造的 CHALLENGE_ACK_ACK 消息逐字节拆解,让恶意 verify_status 字节、目标端口、异常日志特征这些威胁指标一目了然。

整个扩展的定位是把逆向工程和防御研究的热情封装进一套工具链。知识引擎支持自然语言查询,问漏洞原理、检测方法、缓解策略,回复来自本地情报域而非通用模型。报告生成器可以按需输出标记格式的威胁摘要,方便安全运营中心向上下游分发。从数据包结构到认证流程再到威胁指标提取,所有分析都在离线状态下闭环完成。

技术背景指向思科催化系列软件定义广域网的 vdaemon 服务,这个服务负责在边缘设备与控制器之间建立和维护控制面的数据包传输层安全连接。漏洞利用的恰恰是这个握手过程中的认证失败,让攻击者能够绕过身份校验进入控制器。Defensive Companion 的价值在于把这份技术情报从阅读材料变成了可交互的分析实验室,而且不要求分析师离开本地环境去做验证。