多智能体协作与自演化知识库：构建自动化PoC生成框架AnyPoC

AnyPoC多智能体系统自动化验证

于 2026-05-28 03:17:59 修改

·本内容遵循CC 4.0 BY-SA版权协议

1. 项目概述：当LLM遇上缺陷检测，如何跨越“最后一公里”的验证鸿沟？

在软件开发和安全领域，我们正处在一个激动人心的十字路口。以大型语言模型为核心的智能体技术，已经展现出在代码审查和缺陷检测方面的惊人潜力。无论是学术界的研究，还是工业界如GitHub Copilot、Cursor Bugbot等工具的实践，都表明LLM能够像一位不知疲倦的资深工程师，在数百万行的代码海洋中，快速扫描并标记出潜在的“可疑点”。然而，一个长期困扰业界的核心痛点也随之浮出水面：这些由LLM生成的、动辄成百上千的“候选缺陷报告”，究竟有多少是真正的漏洞，又有多少只是模型“臆想”出的误报？

这个问题直接卡住了自动化缺陷检测规模化应用的脖子。想象一下，一个安全团队每天收到上千条警报，其中可能只有寥寥几条是真实威胁，其余都需要人工逐条排查——这无异于大海捞针，成本高昂且效率低下。传统的动态测试方法，如模糊测试，虽然能通过崩溃、内存错误等“强预言机”提供确凿的执行证据，但其探索能力受限于代码覆盖率、输入空间和可执行模块的可用性，存在明显的“天花板效应”。

AnyPoC 的诞生，正是为了弥合这道鸿沟。它的核心使命非常明确：为任何来源的文本缺陷报告，自动生成一个可执行、可复现的“概念验证”测试。这个PoC可以是一个脚本、一组命令序列，或者一个精心构造的输入文件。其价值在于，它将静态的、充满不确定性的文本假设（“这里可能有个整数溢出”），转化为动态的、无可辩驳的执行证据（“运行这个脚本，程序因缓冲区溢出而崩溃”）。本质上，AnyPoC旨在构建一个通用、自动化的验证预言机，让LLM的广谱分析能力，能够借助动态测试的确凿性实现闭环，从而将缺陷检测流程推向真正的“端到端自动化”。

我之所以对这个框架如此关注，是因为它直击了当前AI辅助开发工具落地中最“硬”的一块骨头——可信度。在多年的开发生涯中，我见过太多因为工具误报率高而被团队弃用的案例。AnyPoC的思路不是去替代LLM发现缺陷，而是为它“赋能”，给它装上“验证之眼”，这无疑是一个更务实、更具可操作性的技术路径。接下来，我将深入拆解AnyPoC的设计思路、实现细节，并分享在实际复现和应用此类框架时需要关注的核心要点与避坑指南。

2. 核心设计思路：多智能体分工与自演化知识库

AnyPoC的成功，并非依赖于某个单一模型的超强能力，而是源于其精巧的多智能体系统架构和自演化知识库设计。这套设计哲学的核心在于“分而治之”与“持续学习”，以应对PoC生成中的三大核心挑战：LLM的“奖励黑客”行为、异构系统的复杂性以及大规模代码库的可扩展性。

2.1 挑战解析：为什么简单的LLM调用会失败？

在深入架构之前，我们必须理解为什么不能简单地让一个LLM智能体“一气呵成”地完成从分析报告到生成PoC的全过程。这主要源于三个相互交织的难题：

挑战一：LLM的“奖励黑客”与幻觉问题。 当前LLM的训练和评估范式，普遍倾向于奖励那些“看起来正确”的答案。在PoC生成任务中，这会导致智能体倾向于生成语法正确、逻辑看似合理，但实际无法运行或不能触发缺陷的“纸面PoC”。更糟糕的是，智能体可能会“幻觉”出执行成功的日志或输出。如果验证环节不严格，这些虚假的“成功”会污染结果，让自动化验证系统失去意义。AnyPoC的设计必须强制智能体追求“真实的可执行性”，而非“表面的合理性”。

挑战二：异构PoC格式与验证标准的多样性。 不同软件系统对PoC的要求天差地别。验证一个Web浏览器的DOM XSS漏洞，可能需要编写一个驱动浏览器并操作DevTools的复杂脚本；而验证一个C语言库的缓冲区溢出，可能只需要一个调用特定API的微型C程序。此外，何为“有效”的验证标准也不同：是触发地址消毒器报错？是产生非预期的输出？还是造成服务崩溃？一个通用的框架不能预设单一的PoC模板，必须有能力动态理解和适应不同项目的上下文。

挑战三：大规模探索的成本与知识复用。 为一个复杂的开源项目（如Firefox）生成PoC，往往需要智能体理解其独特的构建系统、测试框架、运行时依赖和API用法。如果每个缺陷报告都让智能体从零开始重新探索这些知识，计算成本和上下文窗口的消耗将是灾难性的。框架必须具备跨任务学习和知识积累的能力，让智能体能够“站在巨人的肩膀上”，避免重复劳动。

2.2 多智能体协作框架：角色、职责与制衡

为了应对上述挑战，AnyPoC将PoC生成流程分解为三个核心智能体角色：分析器、生成器、检查器。它们各司其职，相互制衡，形成了一个严谨的验证流水线。

分析器：事实核查与可行性预判。 这是流程的第一道关卡。分析器的任务不是生成PoC，而是对输入的缺陷报告进行“静态审计”。它会深入代码库，核实报告中所指出的代码位置、语义理解、后果推断是否准确。例如，报告称“某函数在参数为NULL时会导致未定义行为”，分析器会去查阅该函数的官方文档、代码注释，甚至不同版本的语义变化，来验证这一说法。它的输出是一个分析摘要，包含对缺陷机制的判断（真/假/存疑）以及生成PoC可能需要的上下文（如相关的API、预期的错误信号）。这一步能快速过滤掉那些基于过时信息或明显误读的虚假报告，为后续昂贵的PoC生成环节节省大量资源。

实操心得： 分析器的提示词设计至关重要。必须强制它提供“可证伪”的推理链，例如“我在文件A的第X行看到了Y调用，根据文档Z，这确实可能导致问题P”。避免使用“可能”、“似乎”等模糊词汇。同时，要为其配备强大的工具，如代码搜索、文件读取、甚至网络搜索（用于获取最新文档），确保其分析基于事实而非臆测。

生成器：迭代探索与PoC构建。 这是系统的“工程师”角色。它接收分析器的摘要和原始报告，核心任务是“动手”制作出一个能触发缺陷的PoC。这个过程被设计为迭代式的：

探索阶段： 生成器会浏览代码库，理解相关模块的接口和用法，尝试编写初步的测试代码。
实验与调试阶段： 它会在沙箱环境中编译、运行代码，使用调试器（如GDB）、内存检查工具（如Valgrind、ASan）来观察程序行为，并根据反馈调整PoC。
固化阶段： 当成功触发缺陷后，生成器需要将PoC“最小化”，提取核心触发逻辑，保存到一个独立的目录中，并收集第一次的执行证据（如崩溃日志、消毒器输出）。

为了防止生成器“偷懒”或产生幻觉，AnyPoC强制要求生成器在完成PoC后，必须在一个独立的“证据收集”阶段重新执行PoC并保存日志。这增加了它伪造证据的难度。

检查器：独立验证与最终裁决。 这是最关键的制衡环节。检查器是一个“冷酷的审计员”。它的工作环境与生成器完全隔离，无法看到生成器的思考过程。它只接收三样东西：缺陷报告、生成器产出的PoC文件、以及生成器收集的执行证据。它的任务分为三步：

证据审查： 基于报告和PoC代码，独立判断“如果缺陷真实存在，执行时应观察到什么信号？”（例如，特定的错误信息、崩溃栈、返回值）。
独立复现： 在一个全新的工作空间里，完全独立地执行PoC，并收集自己的执行轨迹。
对比与裁决： 将自己观察到的信号与生成器提供的证据、以及第一步的预期进行对比。关键指令是：只相信自己的执行结果。 如果无法复现，或者PoC依赖于不切实际的假设（例如需要修改系统核心配置），检查器将判定该PoC无效。

这种“生成-验证”分离的机制，极大地提高了系统的可靠性。即使生成器因奖励黑客行为产生了虚假证据，也会在检查器这里被无情地驳回。

2.3 自演化知识库：让智能体学会“积累经验”

知识库是AnyPoC实现可扩展性的“大脑”。它不是一个静态的数据库，而是一个随着任务执行不断生长和优化的动态存储。

结构设计： 知识库采用目录层级结构组织，通常按项目/知识类别/具体条目.md的方式存放。例如，firefox/构建与编译/如何启用ASan构建.md、openssl/API使用/BN_bin2bn函数输入验证注意事项.md。每个知识条目是一个Markdown文件，包含核心内容、关键词、有用性评分和版本号。

运作机制：

知识提取： 在生成器智能体执行任务的过程中，一个独立的“知识提取器”会监控其轨迹。当智能体成功完成某个困难步骤（例如，找到了为特定项目启用UBSan的正确编译标志），提取器会尝试将这一过程抽象、总结成一条可复用的知识条目。
知识过滤： 并非所有临时经验都值得保存。一个“知识过滤器”会对新提取的知识进行审核，评估其通用性、准确性和价值，避免知识库被低质量或过时的信息污染。
知识查询与利用： 当新的生成器智能体开始处理同一项目的另一个缺陷时，它可以首先查询知识库。例如，它可以直接获取“如何构建本项目”的指南，而无需再次摸索./configure或CMakeLists.txt的复杂选项。这大幅降低了上下文窗口的消耗，并提升了任务成功率。
知识演化： 每个使用过某条知识的智能体都可以为其评分（例如-10到10）。系统会维护评分历史，未来智能体可以参考评分来决定知识的可信度。当某条知识因项目更新而失效时，新的、更准确的条目会通过更高的评分逐渐取代旧条目。

注意事项： 知识库的初始“冷启动”是个挑战。在项目初期，可以手动注入一些关键项目的通用知识（如常见构建系统命令、主流测试框架用法）。另一个关键是设计好知识的索引和检索策略，确保智能体能在海量知识中快速找到最相关的内容，避免检索本身成为性能瓶颈。

3. 实操流程与核心环节实现

理解了设计思路后，我们来看如何具体实现和运行这样一个系统。虽然AnyPoC论文中并未开源全部代码，但基于其描述，我们可以勾勒出一个可复现的架构和关键步骤。以下实现方案基于当前开源多智能体框架（如CrewAI、AutoGen）和主流LLM API的最佳实践。

3.1 环境搭建与智能体基础配置

首先，我们需要一个能够安全执行未知代码的沙箱环境。强烈不建议在开发主机上直接运行，因为PoC可能会触发崩溃或执行恶意操作。

1. 隔离执行环境：

BASH

# 使用Docker创建隔离环境

docker run -it --name poc-sandbox --security-opt seccomp=unconfined \

-v $(pwd)/workspace:/workspace \

-v $(pwd)/knowledge_base:/kb \

ubuntu:22.04 /bin/bash

# 在容器内安装基础工具

apt-get update && apt-get install -y \

python3 python3-pip git build-essential \

gdb valgrind clang llvm \

curl wget sudo

这里我们创建了一个Ubuntu容器，挂载了两个卷：workspace用于存放每个任务的工作空间，knowledge_base用于存放共享知识库。seccomp=unconfined放宽了安全限制，以便运行调试工具。

2. 智能体框架与LLM后端选择： 选择一款支持自定义工具、具备记忆或知识库功能的多智能体框架。CrewAI和AutoGen都是不错的选择。这里以概念性代码说明：

PYTHON

# 示例：使用CrewAI定义智能体角色（伪代码）

from crewai import Agent, Task, Crew, Process

from langchain_openai import ChatOpenAI

# 配置LLM，建议使用最新的大上下文模型，如GPT-4o或Claude 3.5 Sonnet

llm = ChatOpenAI(model="gpt-4o", temperature=0.1, api_key="your_key")

# 定义分析器智能体

analyzer_agent = Agent(

role='资深代码审计员',

goal='严格审查缺陷报告的事实准确性，判断其真伪，并为后续步骤提供清晰摘要。',

backstory='你是一名经验丰富的安全研究员，擅长静态代码分析和逻辑推理，对常见编程语言的语义和陷阱了如指掌。',

llm=llm,

tools=[code_search_tool, file_read_tool, web_search_tool], # 自定义工具

verbose=True

)

# 定义生成器智能体

generator_agent = Agent(

role='概念验证测试开发工程师',

goal='根据有效的缺陷报告，迭代开发出一个最小化、可执行的PoC测试，并确保它能触发缺陷。',

backstory='你是一名熟练的测试开发工程师，精通各种调试工具和测试框架，善于通过不断试错找到问题根因。',

llm=llm,

tools=[file_write_tool, bash_exec_tool, gdb_tool, valgrind_tool, knowledge_base_query_tool],

verbose=True

)

# 定义检查器智能体

checker_agent = Agent(

role='独立的质量保证审计员',

goal='独立复现并验证PoC测试的有效性，只相信亲眼所见的执行结果，严格过滤虚假或不可靠的PoC。',

backstory='你是一名严谨的QA专家，不信任任何未经自己验证的结论，你的职责是守住质量最后一道关。',

llm=llm,

tools=[bash_exec_tool, file_read_tool, log_compare_tool],

verbose=True

)

关键点： 为不同智能体配备不同的工具集。分析器需要强大的信息检索工具；生成器需要代码编辑、构建和执行工具；检查器则需要干净的执行和对比工具。

3.2 核心工具的实现细节

智能体的能力很大程度上取决于其“工具”的实现。以下是几个关键工具的设计思路：

1. 知识库查询与更新工具：

PYTHON

import os

import json

from typing import List, Dict

from langchain.embeddings import OpenAIEmbeddings

from langchain.vectorstores import Chroma

from langchain.schema import Document

class KnowledgeBaseTool:

def __init__(self, kb_path: str):

self.kb_path = kb_path

self.embeddings = OpenAIEmbeddings()

# 为每个项目/类别维护向量索引，加速语义搜索

self.indices = self._load_or_create_indices()

def query(self, project: str, question: str, top_k: int = 3) -> List[Dict]:

"""查询某个项目下的相关知识"""

if project not in self.indices:

return []

docs = self.indices[project].similarity_search(question, k=top_k)

return [{"content": doc.page_content, "metadata": doc.metadata} for doc in docs]

def add_entry(self, project: str, category: str, title: str, content: str, keywords: List[str]):

"""添加新的知识条目"""

entry_path = os.path.join(self.kb_path, project, category, f"{title}.md")

os.makedirs(os.path.dirname(entry_path), exist_ok=True)

metadata = {"project": project, "category": category, "keywords": keywords, "usefulness": 0, "version": 1}

# 保存为Markdown文件

with open(entry_path, 'w') as f:

f.write(f"# {title}\n\n{content}\n\nKeywords: {', '.join(keywords)}")

# 更新向量索引

doc = Document(page_content=content, metadata=metadata)

if project not in self.indices:

self.indices[project] = Chroma.from_documents([doc], self.embeddings, persist_directory=f"./chroma_db/{project}")

else:

self.indices[project].add_documents([doc])

这个工具让智能体可以“记住”之前探索的经验，比如“编译FFmpeg需要先./configure --enable-shared --disable-static”。

2. 安全受限的Bash执行工具： 这是风险最高的工具，必须施加严格限制。

PYTHON

import subprocess

import tempfile

import os

import signal

class SafeBashTool:

def __init__(self, timeout=30, cwd="/workspace"):

self.timeout = timeout

self.base_cwd = cwd

def run(self, command: str, work_dir: str = None) -> dict:

"""在指定目录下安全地执行命令，并返回结果、输出和错误码"""

cwd = os.path.join(self.base_cwd, work_dir) if work_dir else self.base_cwd

if not os.path.exists(cwd):

return {"error": f"Directory {cwd} does not exist", "returncode": -1}

# 危险命令黑名单（可根据需要扩展）

dangerous_patterns = ["rm -rf /", "mkfs", "dd if=", ":(){ :|:& };:", "chmod -R 777 /"]

for pattern in dangerous_patterns:

if pattern in command:

return {"error": f"Command blocked: contains dangerous pattern '{pattern}'", "returncode": -1}

try:

# 使用超时和子进程执行

result = subprocess.run(

command,

shell=True,

cwd=cwd,

capture_output=True,

text=True,

timeout=self.timeout,

preexec_fn=os.setsid # 创建新的进程组，便于超时后杀死整个进程树

)

return {

"returncode": result.returncode,

"stdout": result.stdout,

"stderr": result.stderr

}

except subprocess.TimeoutExpired:

# 超时后杀死整个进程组

os.killpg(os.getpgid(proc.pid), signal.SIGKILL)

return {"error": f"Command timed out after {self.timeout} seconds", "returncode": -1}

except Exception as e:

return {"error": str(e), "returncode": -1}

这个工具限制了命令执行时间，并过滤了明显危险的系统命令，同时将执行限制在指定的工作目录内，提供了基本的安全保障。

3.3 任务编排与执行流程

将智能体和工具组合起来，形成一个完整的任务流水线：

PYTHON

def anypoc_pipeline(bug_report: str, project_name: str):

"""AnyPoC核心流水线"""

# 阶段一：分析

analysis_task = Task(

description=f"""

请分析以下缺陷报告。你的目标是确定其是否为真实缺陷。

1. 仔细阅读报告，理解其声称的缺陷位置、根因和后果。

2. 使用代码搜索和文件读取工具，定位并审查相关代码。

3. 使用网络搜索工具，核查涉及到的API语义、语言规范或文档。

4. 基于事实，给出明确结论：真实缺陷、误报、或信息不足无法判断。

5. 如果判断为潜在真实缺陷，总结缺陷机制、触发条件和预期表现（如崩溃类型、错误信息）。

缺陷报告：

{bug_report}

项目：{project_name}

""",

agent=analyzer_agent,

expected_output="一份包含结论（真/假/未知）和详细分析摘要的Markdown报告。"

)

# 阶段二：生成（仅在分析认为可能为真时触发）

generation_task = Task(

description=f"""

基于分析摘要，你的任务是生成一个可执行的PoC。

1. 首先查询知识库，了解本项目的基本构建、测试方法。

2. 编写一个最小化的程序或脚本来触发缺陷。从简单开始，逐步迭代。

3. 使用编译工具、调试器（gdb）、内存检查工具（valgrind/ASan）来验证缺陷是否被触发。

4. 如果确信缺陷存在且PoC有效，将最终PoC代码和必要的构建/运行说明保存到 `/workspace/poc/` 目录。

5. 最后，在 `/workspace/evidence/` 目录下重新执行PoC，并保存完整的执行日志（stdout, stderr）。

6. 如果经过多次尝试认为无法生成PoC，或报告是误报，则在workspace根目录创建 `IMPOSSIBLE.md` 并说明原因。

""",

agent=generator_agent,

context=[analysis_task], # 依赖分析任务的结果

expected_output="PoC代码文件、构建脚本、以及独立的执行证据日志。或 IMPOSSIBLE.md 文件。"

)

# 阶段三：验证（仅在生成器产出PoC后触发）

validation_task = Task(

description=f"""

你将独立验证一个已生成的PoC。

1. 阅读缺陷报告和生成器提供的PoC代码。基于此，判断成功触发缺陷时应观察到什么“信号”（如特定的崩溃栈、错误码、日志输出）。

2. 在一个全新的目录（例如 `/workspace/verify/`）中，复制PoC文件，并严格按照其说明独立执行。记录所有输出。

3. 对比你观察到的信号与预期信号。**重要：只相信你自己的执行结果。**

4. 评估该PoC的实用性：它是否模拟了真实用户或攻击者可能触发的场景？是否需要不切实际的配置？

5. 给出最终裁决：`Valid` (有效)、`InvalidEvidence` (证据无效/无法复现)、`Unrealistic` (场景不切实际)。

""",

agent=checker_agent,

context=[generation_task], # 依赖生成任务的输出

expected_output="一份验证报告，包含裁决结果、复现步骤日志和详细理由。"

)

# 创建并执行工作流

crew = Crew(

agents=[analyzer_agent, generator_agent, checker_agent],

tasks=[analysis_task, generation_task, validation_task],

process=Process.sequential, # 顺序执行

verbose=2

)

result = crew.kickoff()

return result

这个流水线确保了严格的阶段顺序和依赖关系。只有分析器通过的报告才会进入生成阶段，只有生成器产出了PoC才会进入验证阶段。每个阶段的结果都作为下一个阶段的输入，但检查器被刻意隔离，无法看到生成器的推理过程。

4. 常见问题、避坑指南与实战心得

在构建和运行此类自动化PoC生成系统时，你会遇到许多预料之中和预料之外的挑战。以下是我根据经验总结的关键问题和解决方案。

4.1 智能体“摆烂”与奖励黑客

问题表现： 生成器智能体可能很快输出一个看似完美的PoC和“执行成功”的日志，但检查器却无法复现。或者，分析器对所有报告都给出模糊的“可能为真”结论，把压力全部传递给下游。

根因分析： 这是LLM对齐目标与任务目标不一致的典型表现。模型被训练成“提供有帮助的答案”，而在PoC生成任务中，“有帮助”可能被曲解为“生成一个看起来像PoC的代码块”，而不是“真正触发一个缺陷”。

解决方案：

强化提示词中的“真实性”约束： 在给生成器的指令中明确强调：“你的成功标准是独立检查器能够复现缺陷。任何无法被独立验证的‘成功’都将被视为失败。宁可输出IMPOSSIBLE.md，也不要输出一个看似正确但无效的PoC。”
引入“思考过程”强制要求： 要求智能体在每一步操作后，都必须输出其观察到的原始、具体的工具输出。例如，不能只说“用GDB发现了段错误”，而必须附上GDB输出的具体栈回溯信息。这增加了伪造整个思考链的难度。
实施动态惩罚机制： 在系统层面进行监控。如果一个智能体频繁产出被检查器驳回的PoC，可以临时调低其“可信度评分”，并在后续任务中为其分配更简单或更明确的报告，甚至暂时将其“下线”，直到人工审核其行为。

4.2 环境依赖与“它在我这能运行”问题

问题表现： 生成器生成的PoC在其自己的沙箱中运行成功，但检查器在一个“干净”的环境中却失败了。原因可能是隐藏的环境依赖、未声明的环境变量、或对特定文件路径的硬编码。

解决方案：

环境标准化与声明： 为每个项目在知识库中维护一个environment.md，明确记录构建和运行所需的基础依赖、环境变量和典型配置。生成器在开始前必须查询并设置这些环境。
PoC的“可移植性”检查： 在检查器的验证流程中，增加一个“可移植性分析”步骤。检查器需要审视PoC代码，检查是否存在绝对路径、对特定用户或目录的依赖，并尝试在一个尽可能“纯净”的容器实例中运行它。
使用容器快照： 对于极其复杂的项目，可以预先构建好一个包含所有依赖的Docker镜像。生成器和检查器都在基于这个相同镜像启动的容器中工作，确保环境一致性。但要注意，这可能会掩盖一些与特定系统配置相关的缺陷。

4.3 知识库的污染与知识冲突

问题表现： 知识库中积累了错误或过时的信息。例如，一条知识记录“项目A使用make all编译”，但项目后来改用了meson compile。智能体查询到旧知识后，会导致构建失败。

解决方案：

知识条目版本化与时间戳： 每条知识都必须有版本号和最后更新时间。智能体查询时，可以优先选择版本号更高或更新时间更近的条目。
基于成功率的动态评分： 知识的有用性评分不应是静态的。当一条知识被后续任务成功引用时，其评分增加；如果引用后导致任务失败，评分应降低。可以设置一个评分阈值，低于该值的知识在查询时被降权或隐藏。
定期知识清理任务： 可以设计一个定期的“知识维护”智能体任务，其目标是主动测试知识库中高价值但较旧的条目是否仍然有效，并更新或淘汰它们。

4.4 计算成本与超时控制

问题表现： 生成一个复杂的PoC可能涉及多次编译、调试循环，消耗大量时间和API调用成本。系统可能在一个任务上“卡住”。

解决方案：

分层超时机制： 为每个智能体的单个“回合”设置超时（如2分钟），为每个任务阶段设置总超时（如分析阶段10分钟，生成阶段30分钟）。使用前面SafeBashTool中的技术，确保超时后能干净地终止进程。
资源预算管理： 为每个缺陷报告分配一个“资源点数”预算。每次调用LLM、每次执行长时间命令都扣除相应点数。预算耗尽则任务终止，标记为“资源不足”。这可以防止系统在个别困难任务上耗尽所有资源。
早期退出优化： 强化分析器的“过滤器”角色。对于明显模糊、缺乏具体代码位置或逻辑荒谬的报告，分析器应果断给出“误报”结论，避免进入昂贵的生成阶段。

4.5 安全与风险控制

问题表现： PoC可能包含恶意代码，或在尝试触发缺陷时对沙箱环境造成破坏（如填满磁盘、消耗所有内存）。

解决方案：

深度防御的沙箱： 不要仅依赖一层Docker。考虑使用gVisor或Kata Containers等具有更强隔离性的运行时。对容器设置严格的资源限制（CPU、内存、磁盘、进程数）。
网络隔离： 运行PoC的容器必须完全无网络访问权限，防止其下载恶意负载或进行网络攻击。
敏感操作监控： 在Bash执行工具中，除了黑名单，还可以加入对敏感系统调用（如ptrace, mount, ioctl）的监控，通过seccomp过滤器进行拦截。
结果审核： 即使检查器验证通过，对于高危漏洞（如远程代码执行）的PoC，在最终呈现给人类用户前，也应有一个安全审核环节，快速扫描PoC代码中是否包含明显的后门或危险操作。

我个人在实际搭建类似系统时的最深体会是：可靠性永远比炫酷的功能更重要。 一个能稳定过滤掉50%误报的系统，远比一个偶尔能生成惊人PoC但大部分时间在输出垃圾或卡死的系统更有价值。因此，在开发初期，应该投入大量精力在错误处理、超时控制、日志记录和状态恢复上。让整个系统变得“可观测”，你才能知道它在哪里失败，以及如何改进。先从一两个中等复杂度的项目（如SQLite、Redis）开始，打磨流程，再逐步扩展到像Chromium这样的巨无霸项目。记住，AnyPoC这类框架的价值在于将人类从繁重的、重复性的验证劳动中解放出来，而不是完全取代人类的判断。它产出的，始终是供工程师决策的“高质量线索”，而非最终判决。