Construa um agente de inteligência de CVE e vulnerabilidades: CISA KEV, NVD, EPSS e MITRE ATT&CK em uma única API

Toda equipe de segurança se afoga em CVEs. O sinal não é a severidade — é se uma vulnerabilidade está sendo explorada e qual a probabilidade de que esteja. Veja como construir um agente que funde NVD, CISA KEV, EPSS e ATT&CK para responder a 'o que eu corrijo primeiro?'
TL;DR
- •A severidade CVSS sozinha conta a mais: a maioria dos CVEs 'críticos' nunca é explorada. A priorização real precisa de CISA KEV (explorados conhecidos) + EPSS (probabilidade de exploração) sobrepostos.
- •As quatro fontes: NVD (registros de CVE + CVSS), CISA KEV (a lista oficial de explorados na prática), EPSS (pontuação diária de 0–1 de probabilidade de exploração), MITRE ATT&CK (táticas/técnicas para dar contexto).
- •O Cybersecurity Search da API Pick encapsula as quatro por trás de um único endpoint POST — 10 créditos por chamada, só-se-acertar — de modo que o agente obtém inteligência de vulnerabilidades fundida sem quatro scrapers.
- •O padrão do agente: busque o CVE, verifique se está no KEV, leia a pontuação EPSS, mapeie para técnicas do ATT&CK e então ordene por explorados-primeiro, depois EPSS e depois CVSS.
- •Isso é recuperação, não um scanner: ele diz o que se sabe e o que é provável sobre uma vulnerabilidade, para priorizar a triagem humana — não para autorizar ações automatizadas.
A severidade é a chave de ordenação errada
Um programa de vulnerabilidades que corrige por pontuação CVSS é ocupado e ineficaz. A National Vulnerability Database lista dezenas de milhares de CVEs High e Critical; a esmagadora maioria nunca é explorada. Enquanto isso, um "Medium" com um exploit funcional na prática fica parado no backlog. A pergunta que um agente de segurança deveria responder não é "quão ruim isso poderia ser" — é "o que eu deveria corrigir primeiro, hoje."
Responder a isso exige quatro fontes de dados fundidas. Cada uma é gratuita e pública; cada uma tem seu próprio formato e cadência de atualização.
As quatro fontes
NVD — registros de CVE
A National Vulnerability Database do NIST. A lista canônica de CVE com vetores CVSS, produtos afetados (CPE) e referências. A camada base de "o que é esta vulnerabilidade". Força: oficial e completa. Fraqueza: o CVSS sozinho conta a severidade a mais.
CISA KEV
O catálogo Known Exploited Vulnerabilities — a lista oficial da CISA dos CVEs confirmados como explorados na prática, com prazos de remediação para as agências federais dos EUA. Se um CVE está no KEV, ele fura a fila. Força: o sinalizador de maior sinal em toda a gestão de vulnerabilidades.
EPSS
O Exploit Prediction Scoring System do FIRST.org: uma probabilidade diária de 0–1 de que um CVE seja explorado nos próximos 30 dias. Transforma "poderia ser explorado" em "quão provável". Força: uma ordenação probabilística que mapeia o comportamento real dos atacantes.
MITRE ATT&CK
A base de conhecimento de táticas e técnicas dos adversários. Mapeia uma vulnerabilidade ao seu papel na kill-chain. Força: transforma um CVE em uma história operacional que as suas detecções e o seu plano de resposta podem usar.
Um endpoint, inteligência fundida
O Cybersecurity Search encapsula NVD, CISA KEV, EPSS e MITRE ATT&CK por trás de um único endpoint POST — 10 créditos por chamada, só-se-acertar. Passe um ID de CVE ou uma consulta em linguagem natural; os resultados voltam fundidos e pré-formatados para um LLM. Combine-o com o Web Search para os avisos dos fabricantes e o Extract para trazer uma página de aviso completa.
import httpx, os
API, HEADERS = "https://api.apipick.com/v1", {"x-api-key": os.environ["APIPICK_KEY"]}
def vuln_intel(query: str):
r = httpx.post(f"{API}/search/cybersecurity",
headers=HEADERS, json={"query": query})
r.raise_for_status()
return r.json()["results"]
# "what should I patch first across NVD + KEV + EPSS + ATT&CK?"
records = vuln_intel("actively exploited Apache and VMware vulnerabilities this month")
# Rank: KEV-listed first, then by EPSS, then CVSS. Feed the ranked,
# cited list to your LLM to summarize the worklist for an analyst.Construir vs. comprar
| Conectar você mesmo | API Pick | |
|---|---|---|
| Fontes | NVD + KEV + EPSS + ATT&CK, separadamente | As quatro, fundidas |
| Formatos | 4 schemas + CSV do EPSS | 1 formato de JSON |
| Frescor | Você agenda 4 sincronizações | Ao vivo por chamada |
| Pronto para LLM | Você normaliza cada um | Pré-formatado + URLs de origem |
| Custo | Infra + manutenção | 10 créditos/chamada, só se acertar |
O que você pode construir
Além de um assistente de priorização de patches: um agente de vigilância diária do KEV que avisa quando um CVE da sua stack entra na lista de explorados; um bot de triagem que transforma um export do seu scanner em uma lista de trabalho ordenada e com citações; um copiloto de analista que explica em linguagem simples as implicações ATT&CK de um CVE. O mesmo padrão — recuperação fundida, ordenada por explorados-primeiro, sintetizada com as fontes anexadas. Pegue uma chave gratuita (100 créditos, sem cartão) e aponte o seu agente para ela.
Perguntas Frequentes
Por que a severidade CVSS não basta para priorizar patches?
Porque a severidade mede o impacto potencial, não a probabilidade de exploração. Dezenas de milhares de CVEs são classificados como High ou Critical, mas apenas uma pequena fração chega a ser explorada na prática. Se você corrige só pelo CVSS, gasta esforço em vulnerabilidades que os atacantes nunca tocam enquanto deixa escapar aquela de severidade média que está sendo ativamente explorada. A abordagem moderna sobrepõe CISA KEV (é sabidamente explorada?) e EPSS (qual a probabilidade de que seja?) ao CVSS para ordenar o que realmente importa.
O que é o EPSS e como eu o uso?
O EPSS (Exploit Prediction Scoring System), do FIRST.org, dá a cada CVE uma pontuação atualizada diariamente de 0 a 1 que estima a probabilidade de ele ser explorado nos próximos 30 dias. Uma política comum: corrija imediatamente qualquer coisa no CISA KEV, depois qualquer coisa com EPSS acima de ~0.1 (ou o seu limiar ajustado ao risco) e depois faça a triagem do restante por CVSS. Como o EPSS é atualizado diariamente, um agente deve buscá-lo de novo em vez de manter em cache.
O que o MITRE ATT&CK acrescenta?
Contexto. O ATT&CK mapeia táticas e técnicas dos adversários (acesso inicial, escalonamento de privilégios, exfiltração, etc.). Ligar um CVE às técnicas que o exploram ajuda um analista a entender a implicação na kill-chain — não apenas 'isto é explorável' mas 'isto habilita movimento lateral', o que muda como você prioriza e quais detecções adiciona.
O agente pode aplicar patches ou bloquear tráfego automaticamente?
Não — e você não deveria conectá-lo para isso. Esta é uma camada de recuperação de inteligência: ela funde o que se sabe sobre uma vulnerabilidade para priorizar a triagem humana. A remediação automatizada precisa de controle de mudanças, testes e um responsável humano. Use o agente para produzir uma lista de trabalho ordenada e com citações; deixe que o seu pipeline de patch/SOAR e um engenheiro a executem.
Quão atualizados estão os dados?
A NVD e o CISA KEV são atualizados continuamente à medida que CVEs são publicados e a exploração é confirmada; o EPSS recalcula diariamente. O endpoint consulta fontes ao vivo, então uma execução do agente reflete o estado atual. Para uma trilha de auditoria, guarde a pontuação EPSS e o status do KEV com um carimbo de data/hora no momento da decisão.
APIs usadas neste artigo
Sarah Choy é a CEO da API Pick. Ela escreve sobre a construção de APIs prontas para produção para agentes de IA e fluxos de trabalho com LLMs.