文章总结: 本文介绍作者利用WorkBuddy企业版搭建自动化挖洞平台的经验,通过资产库管理、四大核心Agent(信息收集、漏洞扫描、JS挖掘、报告生成)及多Agent协同工作流,实现7×24小时自动挖洞,显著提升效率,月均产出两位数漏洞,赏金达五位数。强调合法授权与合规性。 综合评分: 85 文章分类: 渗透测试,红队,内网渗透,安全工具,实战经验
别再用个人版单挑了:我在WorkBuddy企业版上搭了个AI挖洞工厂,7×24小时自动出洞
原创
逍遥 逍遥
昆仑AI安全实验室
2026年7月3日 00:49 广东
在小说阅读器读本章
去阅读
做SRC的都知道,挖洞这事儿,三分靠技术,七分靠信息收集。谁资产摸得全、扫得快、验得准,谁就能在赏金榜上霸榜。
我干了这么多年渗透,去年终于受够了——手动收集子域名、一个一个测越权、手写报告到凌晨三点。我开始在WorkBuddy企业版上搭自动化挖洞平台。从内测期就开始折腾,到现在跑了快一年,这套平台帮我每个月稳定产出两位数的有效漏洞,赏金从四位数涨到五位数。
今天我把整个搭建过程完整拆开——从资产库搭建、Agent配置、协同工作流设计,到实战案例。你照着做,一周内就能跑起来。
一、为什么是企业版?
先回答最实际的问题:个人版也能跑Agent,为什么非要企业版?
我一开始也用个人版,但很快就发现了三个痛点:
资产管理混乱。 做SRC要管几十个目标、几百个域名、几千个IP,个人版只能本地存文件,没法打标签、分优先级、跟踪历史变更。两周不看,自己都忘了哪个IP是干嘛的。
多任务并行困难。 个人版只能跑一个工作流,我同时做信息收集就不能做漏洞扫描,效率极低。
缺少合规记录。 挖SRC虽然不用给客户交审计报告,但如果被平台质疑“你是不是扫描过度了”,没有操作日志就自证不了清白。
企业版的核心优势就三点:
多租户工作区:可以给每个SRC平台、每个目标建独立空间,资产、Agent、结果全部隔离。比如我做腾讯SRC和阿里SRC,两个工作区互不干扰,切过去所有配置都在。
并行任务编排:可以同时跑信息收集、漏洞扫描、JS挖掘三条线,每条线又拆成多个Agent并发工作。效率提升五倍以上。
审计日志:所有操作自动记录,从哪个IP扫描了哪个端口到哪个Agent什么时间做了什么操作,全有。被平台问“你是不是扫太猛了”,我直接导出时间戳日志自证清白。
更重要的是,企业版支持多模型接入。我日常批量扫描用DeepSeek降低成本,遇到复杂Payload构造或代码审计时切Claude Opus做深度推理。灵活分配模型,API成本压到极致。
二、资产库搭建:给每个目标建“健康档案”
企业版有个核心模块叫“资产库”。你可以把目标的所有信息集中存储,AI自动分类、评分、监控变更。
我的配置:
第一步:手动导入核心资产。 新建工作区(比如“腾讯SRC”),从OneForAll导出的子域名列表、FOFA测绘的IP段、小程序AppID,全扔进资产库。企业版支持批量导入CSV/JSON,粘贴即用。
第二步:AI自动扩展。 我创建了一个“资产扩展Agent”,它每天会自动调FOFA/Shodan API,根据主域名反查新子域名、关联IP、SSL证书信息,自动补充进资产库。比如发现一个新解析的测试域名,它会自动打标签“新增资产-待扫描”并推送到我的任务队列。
第三步:自动评分排序。 另一个“资产评分Agent”根据指纹、端口、历史漏洞、业务类型给每个资产打分。比如test-nacos.target.com开放8848端口且Nacos版本1.3.2,评分95;“核心业务主站”WAF严密且历史漏洞少,评分30。我每天早上打开资产库,按评分从高到低列着,该先挖哪个一目了然。以前花半天纠结“挖哪个”,现在十秒决定。
三、核心Agent搭建:我的四大金刚
WorkBuddy企业版的Agent不是写死的脚本,而是可以自定义角色、Prompt、工具链的智能体。我根据挖洞流程搭建了四个核心Agent,每个都经过反复调优。
Agent 1:信息收集官——一键摸清全家底
配置:角色设定为“资深资产测绘工程师”,绑定工具OneForAll(子域名)、Nmap(端口)、Ehole(指纹)、httpx(HTTP响应)、Katana(JS爬虫)。工作流程是触发后自动串行执行→汇总结果→输出结构化JSON→存入资产库。
关键Prompt:
你是资产测绘专家。当收到目标域名后,执行以下操作:1. 用OneForAll收集所有子域名,过滤无效和泛解析。2. 用Nmap扫描所有子域名的全端口(1-65535)。3. 用Ehole识别Web服务的框架、中间件、版本。4. 用httpx批量请求Web端口,记录状态码、Title、响应头。5. 对包含JS的响应用Katana提取API端点。6. 将结果整合成JSON,按“高危服务优先”排序。
这个Agent跑一次,十几分钟就能把目标的全网资产摸得清清楚楚。上次测一个电商SRC,它自动发现了一个边缘子域运行着低版本WebLogic(Ehole识别),直接标红。我上去打了PoC,高危到手。
Agent 2:漏洞扫描官——无死角覆盖
配置:角色设定为“漏洞扫描专家”,工具链包括Nuclei(通用漏洞模板)、Xray(被动扫描)、SQLMap(SQL注入)、自研越权测试模块。任务模式是轮询资产库中“待扫描”的资产,根据指纹自动选择Nuclei模板,对可疑响应联动Xray被动扫,对SQL注入嫌疑点自动调SQLMap验证,所有结果存入“待验证漏洞池”。
关键提示词:
你是漏洞扫描专家。根据资产指纹选择最优扫描策略:1. 如框架为Nacos且版本<2.0,优先测试未授权访问(/nacos/v1/auth/users)。2. 如发现Spring Boot Actuator端点,测试heapdump下载。3. 如发现Swagger文档,列出所有API并逐条测试未授权访问。4. 所有扫描结果附Payload、请求/响应截图、CVSS评分。
有次它扫到一个Druid监控页面,自动用弱口令字典爆破出admin/druid,然后从/druid/websession.json拿到了所有会话,里面包括管理员的Session。我一键登录后台,高危到手。
Agent 3:JS敏感信息挖掘官——专挖“隐形密钥”
配置:角色设定为“前端代码审计专家”,工具链包括自定义的正则库+AI语义分析。对JS文件先正则粗筛含key、token、password等的片段,再调用大模型做语义分析——即使密钥被拆分、Base64编码、Hex掩码,AI都能还原。结果输出还原后的明文和风险评级。
关键Prompt:
你是前端代码安全审计专家。分析以下JS代码片段,提取所有可能包含的敏感信息。要求:1. 即使密钥被拆分(如var a='AKID'; b='xxxx'; c=a+b)、编码(Base64、Hex)、或藏在注释里,也要还原成完整明文。2. 识别云服务AK/SK、API密钥、数据库连接串、JWT签名密钥、内网IP。3. 对每个发现给出风险评级(高危/中危/低危)和利用建议。
这个Agent帮我挖出过最离谱的东西:一个JS里OSS密钥被拆成三段,分别放在三个不同文件里,最后在utils.js中拼接。人工审计根本不可能发现,AI跨文件追踪引用还原了出来。那个密钥权限是AliyunOSSFullAccess,严重漏洞。
Agent 4:报告生成官——一键输出专业报告
配置:角色设定为“安全报告撰写专家”,无外部工具,纯用大模型能力。输入“待验证漏洞池”中人工确认后的漏洞数据,按SRC平台模板生成报告,含漏洞概述、复现步骤、Payload、请求/响应截图、影响分析(量化用户量/金额)、修复建议(分紧急和长期)。自动导出Markdown/PDF,支持不同SRC平台的格式要求。每周日自动汇总本周所有漏洞成一份“周报”。
这个Agent帮我省了一半时间。以前挖完洞最烦写报告,现在我把验证截图和POC往里一扔,几分钟出一份专业报告。审核员看了都说“你们报告很规范”。
四、多Agent协同:让它们像流水线一样运转
单个Agent跑是单兵作战,企业版真正强的是多Agent协同。我的工作流是这样设计的:
触发器:新增资产或定时任务。 比如资产扩展Agent发现新子域名→自动触发信息收集官→完成后触发漏洞扫描官→完成后触发JS敏感信息挖掘官→所有结果汇总到“待验证漏洞池”。如果信息收集官发现Nacos、Druid等目标→自动提升优先级;如果漏洞扫描官发现高危漏洞→立即推送飞书告警。
并行与串行结合。 信息收集官必须先跑完(因为后续Agent依赖它的结果),但漏洞扫描官和JS挖掘官可以并行(互不依赖)。实际测试下来,从发现新资产到漏洞报告生成,最快28分钟。而且几乎不用人工干预——我在睡觉或干别的时,AI在帮我挖洞。
人工验证环节。 AI所有产出的漏洞,我都会在Burp里手工验证一遍。目前这套系统的准确率约70%——30%是误报(主要是Nuclei的泛用模板导致),但70%的有效率已经远超传统扫描器。AI负责广度覆盖和提效,人工负责深度验证和复杂逻辑判断,各取所长。
五、实战案例:一个周末挖出五个高危
上个月我用这套平台做某电商SRC。周六中午把主域名输入资产库,启动定时任务,晚上九点打开平台,看到:
- 资产扩展Agent自动发现了47个子域名,其中两个测试域名、一个Nacos控制台。
- 信息收集官发现Nacos是1.3.2版本,自动标红并提升了优先级。
- 漏洞扫描官对Nacos做了未授权测试,成功拉取所有配置文件,含数据库密码、OSS密钥。
- JS敏感信息挖掘官在另一个测试域名的JS里发现了内网API地址和一组AK/SK。
- 越权测试Agent发现订单接口可遍历,结合数据库密码直接导出全量订单。
周日花了一下午手工验证,周一早上提交了五个漏洞报告:一个严重(OSS密钥+数据库密码全泄露)、三个高危(Nacos未授权、API未授权访问、订单越权)、一个中危(Swagger暴露)。总赏金超两万。如果没有平台,手工做这些信息收集和验证至少要两周,很多边缘资产根本不会被发现。
六、怎么上手?成本多少?
如果你想自己搭,需要:
- WorkBuddy企业版账号(我们作为合作伙伴可协助开通和配置)。
- 大模型API Key(DeepSeek、Claude、GLM等,至少一个),月成本约200-1000元(取决于任务量)。
- 一些工具依赖(如Nmap、Nuclei需部署在服务器上,WorkBuddy通过API调用)。
我们提供“开箱即用”的配置服务:帮你部署Agent模板、调试工作流、培训使用。从零到平台跑起来,一般两天足够。如果你只是想体验,我也可以分享几个通用Agent模板的配置,你拿回去改改就能用。
七、写在最后
从个人版到企业版,从手工挖洞到AI工厂,WorkBuddy带来的不只是效率提升,而是玩法改变。以前我靠体力和时间换赏金,现在我靠系统——平台自动化搞定信息收集和漏洞初筛,我只需要做最高价值的手工验证和攻击链设计。
如果你还在手工挖洞,不妨花一个周末试试搭这套系统。把重复劳动交给AI,把你的经验和创造力用在最值得的地方。说不定下一个周末,你也能提交五个高危。
严正声明 本文所述技术仅用于合法授权的安全测试。所有案例均已脱敏,仅保留技术原理供学习参考。未经授权扫描、测试他人系统属违法行为。请务必在获得授权的情况下进行安全评估。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:昆仑AI安全实验室 逍遥 逍遥《别再用个人版单挑了:我在WorkBuddy企业版上搭了个AI挖洞工厂,7×24小时自动出洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论