文章总结: 本文介绍AI自主渗透测试机器人Zero的设计与实战。核心采用专家驱动双人闭环协作框架,通过有向无环图规划攻击路径,利用MCP协议集成工具。实战中Zero成功通过SSH爆破和SQL写文件获取webshell,耗时2.5小时,成本23美元。文章指出其局限包括图形界面操作缺失、幻觉误判及复杂场景能力弱,建议用于SRC和护网但需注意成本。 综合评分: 84 文章分类: 渗透测试,红队,内网渗透,安全工具,AI安全
AI自主渗透测试机器人设计与实战运用
原创
zkaq – flysheep zkaq – flysheep
掌控安全EDU
2026年7月6日 12:04 江西
在小说阅读器读本章
去阅读
扫码领资料
获网安教程
本文由掌控安全学院 – flysheep 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
喜欢常常在Track安全社区浏览大佬分享的实战心得,但是发现涉及到AI自动化渗透测试的文章较少,于是有了本文。
我认为随着模型能力的持续提升和工程架构的日趋成熟,自动化渗透测试Agent正从实验室走向真实的攻防战场。虽然它不会取代安全专家,但会成为专家手中最锋利的工具——让专业时间聚焦于核心漏洞攻坚,而非重复性的扫描和报告撰写。
本人参加了2次腾讯安全举办的黑客松智能渗透测试竞赛,取得了一定成绩,但是跟前几名差距很大,于是潜心研究了开源的LuaN1aoAgent、CyberStrikeAI、CAI、Cairn等智能体,最终选择在Cairn基础上用claude code进行二次开发属于自己的渗透测试ai agent,起名叫Zero,并且已经用于实战。
今天主要讲讲二开改进思路和实战效果观摩,即看看大模型到底是如何进行渗透的。
一、设计思想和基本原理
我认为Cairn那种“不设边界、自主搜索”的理念可能导致渗透过程和结果不可控,于是我增加了一个专家agent来通过“角色分工”来约束LLM行为。核心理念可以总结为:一个“专家驱动”的自动化渗透测试代理,通过模拟人类专家的思维循环,将复杂的攻击决策过程拆解为可计算的协作流程。
1.1认知协作框架
我构建了一个双人闭环协作框架。它将渗透测试的认知过程,串联为独立的、由LLM驱动的角色:
- 专家Agent:扮演“战略大脑”。它不直接操作工具,而是根据当前全局状态(如已发现的主机、端口),动态生成或修改一个有向无环图形式的攻击计划。它输出的是结构化的“图编辑指令”(如添加、更新、弃用节点),而非自然语言。最后负责审查执行结果,对失败进行分级归因(L1-L4级),并生成可复用的“攻击情报”,同时判断目标是已达到还是任务陷入僵局。
- 渗透Agent:扮演“战术手脚”。它专注于完成规划者分配的单个子任务,通过MCP协议统一调用各种安全工具(如
fscan、sqlmap),并分析执行结果。它还会维护一个“共享公告板”,用于在并行执行的子任务间实时交换高价值发现。将具体任务交由Dispatcher调度容器,发送目标侦察或者漏洞利用指令,与容器通信获取实时执行状态与结果。
1.2逻辑图推理
为了支撑上述框架的严谨决策,引入了有向图机制:系统强制要求所有行动遵循 “证据 → 假设 → 漏洞 → 利用”的严格逻辑链。任何攻击假设都必须有明确的先前“证据”节点支持,且每个因果边都带有置信度分数。这旨在从架构层面抑制LLM的“幻觉”,确保决策可追溯、可验证。由“规划者”维护的攻击计划是一个动态演进的有向无环图。与传统固定任务列表相比,这个图可以根据测试进展实时变形(例如,发现新端口自动挂载扫描子图、遇到WAF插入绕过节点),并能根据拓扑依赖关系自动识别并并行执行独立任务。
1.3MCP工具集成
在具体实现上,我通过MCP协议实现工具调用的标准化和可扩展性。系统还提供了Web可视化界面和人机协同模式,允许人类专家实时观察任务图演化、审批或修改计划。
总的来说,Zero的设计哲学更接近于为AI构建一套结构化的“思维操作规程”,通过定义清晰的认知角色和严谨的推理链条,来引导LLM在复杂的渗透测试空间中进行相对可靠和可解释的探索。
二、实战渗透测试观摩
先来一张渗透全过程成果图:
下面来逐步拆解机器人都干了什么?
首先,当我输入目标地址,下达渗透测试目标后,侦察子agent开始执行,可以看到它先是进行服务器指纹识别和路径爆破来拓展攻击面。
它识别出来是Diango框架后,去尝试利用已有Nday漏洞进行渗透测试,而且能够自动从github下载poc进行CVE-2025-64459测试,虽然经过多次尝试后,证明该攻击路径走不通,但是最后收敛到起点。
在上面攻击路径收敛后,它采取常规的TCP端口扫描策略再次发起攻击,通过8080发现服务器部署有tomcat服务,找到了一些API端点,并尝试用(tomcat:tomcat, admin:admin, tomcat:s3cret, manager:manager, deployer:deployer, etc.) 这几组口令进行后台管理员口令爆破,不成功后回到原有路径。
最有意思的部分是,它如何在上面失败的尝试后找到正确路径,通过观察,我发现有几个方面:一是搜集到了一些目标相关的用户名/密码组合字典,二是端口扫描发现了SSH服务,然后它尝试ssh组合口令爆破居然成功了(注意:这里不是类似admin/admin123/123456这种弱口令,因为跟目标相关就没放图)。然后进入后是一个低权限的数据库账户。它找到了可以读写的目录,最终通过SQL语句写文件方式把shell成功写入网站目录下。
总共用时2小时35分钟,最终获取了webshell。
三、实践总结:效率、局限、成本
我已经把Zero用于日常参加企业SRC和护网行动中了,但是不可否认的是,自主渗透在很多方面还有局限性:
在效率方面,AI Agent展现出远超我的渗透测试水平,我可以一边打LOL一边渗透,爽歪歪,但是我算了下2个半小时渗透花费我23美刀啊(我用的openrouter平台的API),如果没有达成目标岂不是白花了,所以成本还是不小的。
在复杂场景方面,我尝试过多层企业内网横向移动自动化渗透,现有基线系统在最优运行情况下也仅能到达第三层子网。域渗透能力还偏弱,还有就是C2免杀能力比较弱。
最突出的短板是图形界面操作能力缺失。因为无法导航图形界面、无法理解如何点击按钮而完全错失。只是通过浏览器插件自动填写表单、点击交互元素来弥补这一短板,但这本质上是在“绕过”而非“解决”GUI理解问题。我觉得多模态是下一步方向。
另一大挑战是“幻觉”与误判。由于无法进行视觉验证,Zero仅凭HTTP状态码就将登录失败后的重定向(HTTP 200)错误标记为成功验证。在利用阶段,LLM的幻觉可能导致错误传播,尤其是在需要领域专业知识(如Samba凭据、JBoss工具链)或用户交互(如文件上传)的场景中。
谢谢各位大佬浪费时间听我哔哩哔哩,哈哈哈!
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+交流群+靶场账号哦
分享后扫码加我!
回顾往期内容
零基础学黑客,该怎么学?
网络安全人员必考的几本证书!
文库|内网神器cs4.0使用说明书
记某地级市护网的攻防演练行动
手把手教你CNVD漏洞挖掘 + 资产收集
【精选】SRC快速入门+上分小秘籍+实战指南
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:掌控安全EDU zkaq – flysheep zkaq – flysheep《AI自主渗透测试机器人设计与实战运用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论