文章总结： 文档记录使用GPT5.4测试三项渗透测试技能：api-breaker成功探测Springblade框架API接口，子域名探测工具发现有效网站，webapp-exploit-hunter因缺乏凭证仅发现少量未授权漏洞。作者指出GPT5.5因安全限制无法执行渗透任务，并推广内部CTF课程及安全渗透感知帮会会员服务。 综合评分： 72 文章分类： 渗透测试,实战经验,安全工具,红队,安全培训

AI Agent 渗透测试skill实战测试（二）

原创

油漆工 油漆工

C4安全

2026年4月28日 14:50 江苏

在小说阅读器读本章

去阅读

前言

GPT5.5更新了更加严格的安全规则，暂时无法做渗透测试之类的工作，一般会报错：

stream disconnected before completion: This content was flagged for possible cybersecurity risk. If this seems wrong, try rephrasing your request. To get authorized for security work, join the Trusted Access for Cyber program: https://chatgpt.com/cyber

需要官方给你开权限了

所以这次还是用GPT5.4来测试相关的渗透测试Skill，来看看效果

测试一

这次使用的API探测skill，出自项目：https://github.com/KaQus/claude-code-pentest

技能名称为api-breaker，安装的话每个AI编译器安装方法不同，我使用的是codex，安装时直接把技能文件夹放在skills文件夹里面就行了

运行测试，对目标探测API

探测结果如下，算是比较准的了，把Springblade框架的API都给检测出来了：

这类API基本都需要鉴权

测试二

子域名探测skill，需要提前下载好subfinder、amass、dnsx 这些枚举工具

同样出自项目：https://github.com/KaQus/claude-code-pentest

这里我没有下载工具，直接让他走备用方法探测目标域名

探测子域名

找到的网站还是OK的

测试三

这一步主要探测漏洞，使用webapp-exploit-hunter技能

探测网站漏洞

因为没有登录凭证，也就只能测测未授权的漏洞之类的，收获很少吧

​

内部CTF课程上线，总课程30+小时，优惠折扣中！

​

帮会简介

《安全渗透感知》是FreeBuf知识大陆的重量级帮会，帮会致力于漏洞POC/EXP、红队攻防实战，是系统化从基础入门到实战漏洞挖掘的教程社区，包含团队自整的挖掘注意点和案例，还包含分享的渗透经验、SRC漏洞案例、代码审计、挖洞思路等高价值资源。

内容框架（持续新增中）

目前已有「630+」小伙伴加入了帮会

加入方式目前帮会成员630+人，永久会员优惠后只需69.9元。

随着人数的增加及资源的积累，之后永久会员将涨价至99元。

有意向的师傅们可以扫码加入我们，共同进步。

​

如何加入帮会？→ 安卓/苹果用户可扫码使用优惠券↓↓

→ PC端用户可复制此链接到浏览器↓↓

https://wiki.freebuf.com/societyDetail?society_id=184

​

已加入帮会的小伙伴

可以加帮主进帮会内部交流群

请备注：帮会

​

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：C4安全 油漆工 油漆工《AI Agent 渗透测试skill实战测试（二）》