把汽车级严谨性应用于每一种软件定义的移动产品。
供应链风险
供应商遭到入侵时,您最先得知。
供应商向您交付代码的那一刻,就成为您风险面的一部分。Correlens 跨威胁情报来源监控供应商、评估噪声,并将入侵关联到真正受威胁的具体组件和项目。
参与者“888”在暗网论坛上宣称出售从 Accenture 窃取的约 35 GB 数据
置信度:中 · 该参与者曾夸大事件范围威胁情报
针对您的产品筛选,由 AI 摘要,由人员确认。
来自开放网络、暗网和深网的信号会根据您的上下文评分。AI 阅读、翻译和总结每个信号,分析师负责确认。任何事项都不会仅凭机器结论升级。
参与者宣称出售从互联工程供应商窃取的数据
一名暗网参与者宣称出售从互联工程供应商窃取的数据。该参与者曾有夸大事件范围的记录,因此该主张被视为尚未确认,并关联到该供应商向您交付的具体组件与项目。
电压故障注入绕过 RH850 汽车 MCU 的读取保护
公开研究展示了一种 crowbar 电压故障注入攻击,可绕过 Renesas RH850 微控制器的读取保护和调试密码,使用通用硬件即可读取锁定的闪存,无需拆焊。RH850 常用于网关和转向 ECU,因此该问题涉及 R155 下的固件保密性。
公共代码库暴露引用供应商内部构建域的 CI 配置
一个公共代码库暴露了引用供应商内部构建域和构件路径的 CI 配置。尚未确认有秘密泄露,但这些引用揭示了构建基础设施并暗示 OTA 工具链,因此该信号进入分析师队列,以便针对受影响项目进行验证。
询问图谱
一个问题,一份有依据、有引用的答案。
平台掌握的所有信息都连接在同一个图谱中。用自然语言提问,即可获得包含数据和来源依据的真实答案。
CVE-2026-4187 (gstreamer 1.14.4, 已确认遭到利用) 涉及 3 个项目, 2 家供应商 以及 5 个节点. 在 5 个节点中有 4 个可达;另有一项被供应商 VEX 声明抑制。
漏洞管理
可执行的风险,而不是堆积如山的 CVE。
每项发现都通过关联威胁情报得到丰富,并根据实际部署的产品重新评分。您处理的是已被利用且可达的风险,而不是一个原始严重性数字。
| 漏洞 | 组件 | CVSS | EPSS | 利用情况 | 可达性 | 状态 |
|---|---|---|---|---|---|---|
| CVE-2026-4187 | gstreamer 1.14.4 | 9.8 | 0.89 | confirmed exploited (KEV) | reachable | under review |
| CVE-2026-3350 | botan 2.19.5 | 8.4 | 0.42 | exploit available | reachable | to validate |
| CVE-2026-0915 | bluez 5.66 | 7.5 | 0.18 | PoC published | adjacent | to validate |
| CVE-2026-2044 | libexpat 2.2.6 | 6.2 | 0.05 | no known exploit | not reachable | suppressed (VEX) |
针对您面前的产品重新评分。
一个没有网络路径的 9.8,在您的项目中并不等同于 9.8。只需设置一次节点的真实外部接口和安全等级,所有发现就会按 CVSS 3.0、3.1 或 4.0 自动重新评分。
监视清单
主动发现特定于您零部件的风险。
筛选与您交付产品相关的可观测对象,平台会主动监控。例如,调校和解锁社区会在问题演变为事件之前很久,就公开交流 ECU 解锁技术。
从您的 SBOM 自动生成,并通过标准格式实现可移植。使用 STIX 2.1 导入和导出,让监视清单在团队与工具之间流转。
SBOM
为其他所有工作流提供基础的清单。
软件物料清单是一项输入,平台让它服务于其他流程:它为漏洞管理和威胁关联提供数据,使组件不再只是文件中的一行。查看它如何从导入走向审计就绪。
312 个组件 · 阈值 30
| 组件 | 版本 | 来源 | EOL | 漏洞 |
|---|---|---|---|---|
| gstreamer | 1.14.4 | OSS | 2027-01 | 29 |
| botan | 2.19.5 | OSS | – | 6 |
| bluez | 5.66 | OSS | 2027-03 | 9 |
| ivi-mediastack | 2.8.1 | proprietary | – | 4 |
可移植性
导入您的数据,带走更多价值。
输入和输出均采用开放标准。无论您构建什么,导入的数据都不会被锁定,平台获得的知识会以其他工具已支持的格式返回。
您导入的内容
您获得的结果
例如 导入无人机飞控 SBOM,导出包含可达 CVE 的丰富清单。
例如 将智能交通路侧单元事件直接导出到您的 SOC 和 PSIRT。
有证据支撑的合规
执行日常工作,审计证据随之形成。
网络安全管理体系(ISO/SAE 21434)用于治理产品全生命周期的网络安全。上述模块是其运营工作流,而工作流留下的轨迹正是监管机构要求审查的证据。
软件能力,加上人的专业判断。 从第一份 SBOM 到为审计做好准备,我们的产品安全专家始终与您的团队并肩工作。
由人员掌控的 AI
闭环决策,而不是自动驾驶。
AI 以机器规模完成阅读、评分和关联;分析师作出每一项关键决定。二者缺一不可。
每项决定都有记录。 监管机构要求的审计轨迹由日常工作自然形成,而不是额外负担。团队采用多租户和基于角色的访问控制,因此您可以邀请外部供应商使用限定权限,同时保留全局视图。