文章总结： 本文介绍一款名为Lucifina的AI驱动安全评估工具，集成了360Quake资产测绘、Gemini智能分析、AWVS漏洞扫描等多引擎功能，支持自动化资产发现、漏洞检测和攻击面可视化。工具提供从环境配置到扫描分析的完整操作流程，但文档末尾包含证书售卖等商业推广内容。 综合评分： 70 文章分类： 安全工具,渗透测试,漏洞分析,AI安全,安全运营

警告！你的攻击面可能已经被这款 AI 工具 3 分钟扒光，而你还在手撕 HTML？

原创

菜狗 菜狗

只会看监控的实习生

2026年4月9日 08:03 广东

核心特性

• 多引擎资产测绘：集成 360 Quake 等网络空间测绘引擎，快速定位目标暴露面
• AI 智能分析：接入 Gemini 大模型，对资产结构、漏洞风险进行深度研判
• 自动化漏洞扫描：整合 AWVS、Nuclei、Nmap 等工具，一键完成多维度安全检测
• 攻击面可视化：自动梳理目标系统架构，生成直观的资产拓扑与风险报告

快速开始

环境配置

1. 在 Releases 下载最新版 Lucifina 并解压
2. 运行 Lucifina.exe，进入 API 配置 页面
3. 填写以下凭证：

• 360 Quake API Key – 用于资产测绘
• Google Gemini API Key – 用于 AI 分析
• AWVS API Key – 用于漏洞扫描
• 代理地址 – 网络代理配置（如需）

1. 点击 保存配置 并重启应用
2. 配置将自动保存至 ./config.json，后续修改需重复上述步骤

功能模块详解

1. 资产收集 (Quake 集成)

基于 360 Quake 语法的高级资产搜索模块，功能对齐官方 Web 端。

操作流程：

• 在”查询语法”输入框填写 Quake 支持的标准查询语句
• 配置参数：起始位置、查询条数、时间范围、数据字段等
• 执行查询，结果自动保存至 ./target/ 目录

输出格式：

./target/ └── {timestamp}_{domain}.txt   # 资产列表文件

2. 资产智能分析 (Gemini)

利用生成式 AI 对测绘结果进行自动化资产画像与重要性研判。

操作流程：

1. 点击”选择文件”，导入 /report 目录下的资产测绘结果
2. 设定批处理规模（建议每次 50-100 条资产，避免 API 限流）
3. 点击”开始分析”，系统自动解析资产信息并分批发送至 Gemini
4. AI 将分析各资产的组件构成、功能属性及业务角色，输出研判报告

分析维度：

• 技术栈识别（框架、中间件、CMS）
• 业务重要性评估
• 潜在攻击路径推理

3. AWVS 漏洞扫描

集成 Acunetix Web Vulnerability Scanner，支持对目标进行深度 Web 漏洞检测。

界面截图占位

4. HTTP 流量分析

支持对 HTTP 请求/响应进行实时抓取与 AI 辅助分析。

使用方法：

• 直接粘贴 HTTP 请求数据包，或输入 URL（自动转换为标准请求格式）
• 点击”发送”获取服务器响应
• 切换至”综合分析”标签，点击”分析”按钮
• AI 将自动解析请求逻辑、识别潜在注入点、分析响应异常

5. AI 安全助手

独立的对话式 AI 交互模块，内置红队专用提示词模板：

• 漏洞利用脚本生成
• 绕过技术方案咨询
• 攻击链逻辑梳理
• 报告撰写辅助

6. 资产梳理中心

集中化资产管理面板，整合多源扫描数据。

操作流程：

1. 上传 ./target/ 目录下经 AWVS 扫描后的漏洞文件
2. 点击”刷新”同步数据
3. 查看整体资产分布、漏洞统计与风险评级

7. 脆弱性综合分析

一键式多工具集成扫描引擎，自动协调以下工具执行任务：

| 工具 | 功能描述 | | — | — | | Nmap | 端口扫描与服务识别 | | Nuclei | 漏洞模板匹配与验证 | | Dirsearch | 目录爆破与敏感文件发现 | | URLFinder | 敏感 URL 与接口提取 | | Katana | 现代 Web 爬虫与端点发现 |

输出位置：./report/{domain}/

扫描结果将通过内置 pipeline 进行数据去重与格式化

8. 态势感知报告

基于多维度扫描数据的智能风险态势分析。

功能说明：

1. 选择 ./report 目录下需分析的目标资产文件
2. 系统自动根据当前资产 URL 从 AWVS 数据库中检索关联漏洞
3. 并行读取 ./report/{domain}/ 目录下的所有扫描结果文件
4. 融合分析后生成综合性态势感知报告

⚠️ 已知限制：当前版本若存在多个相同资产可能导致关联失效，后续版本将优化为同时读取 ./target 中的扫描 ID 与 ./report 下的结果文件进行精确匹配。

9. 攻击面可视化分析

提供交互式攻击面拓扑展示，直观呈现：

• 资产依赖关系图谱
• 关键节点与高价值目标标注
• 攻击路径推演与可行性评估

目录结构说明

Lucifina/
├── Lucifina.exe          # 主程序
├── config.json           # API 配置文件（自动生成）
├── target/               # Quake 资产收集结果
│   └── {timestamp}_{domain}.txt
└── report/               # 综合分析报告目录
└── {domain}/
├── nmap_scan.json
├── nuclei_results.json
└── analysis_report.md

技术栈

• 前端：基于 ChatGPT 技术构建的交互界面
• 资产测绘：360 Quake API
• AI 引擎：Google Gemini Pro
• 漏洞扫描：AWVS API + Nuclei + Nmap
• 数据处理：Python 自动化 Pipeline

回复Lucifina获取

低价出售安全证书不限于cisp、pte等请Vme～建了一个项目群，想进群的请回复进群即可

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：只会看监控的实习生 菜狗 菜狗《警告！你的攻击面可能已经被这款 AI 工具 3 分钟扒光，而你还在手撕 HTML？》