文章总结: CyberStrikeAI是一个基于大模型的多智能体渗透测试框架,通过ReAct+MCP架构解决安全测试中上下文流失问题,新增浏览器插件捕获实时流量,并开放微信7群。项目强调授权测试与安全审计,提供可配置的自动执行与人工确认机制。 综合评分: 88 文章分类: 渗透测试,AI安全,安全工具,红队,WEB安全
CyberStrikeAI 过 5000 Star:新增浏览器插件,微信 7 群开放
原创
学安全也就图一乐 学安全也就图一乐
低调学安全
2026年7月9日 00:06 北京
在小说阅读器读本章
去阅读
CyberStrikeAI 的 GitHub Star 数过了 5000。项目去年 11 月开始开发,到现在八个月。
借这个节点,同步两件事:浏览器插件发布,微信 7 群开放。也顺带说明一下这个项目在做什么、为什么这么做。
这个项目在做什么,怎么来的
过去一年,用大模型做渗透的演示不缺,单步都能跑通;可一旦拼成完整的授权项目,就处处卡壳。卡点不在模型够不够聪明,而在两种东西的本质冲突:一次安全测试是有状态、要担责、能回溯的长流程,而模型对话天生无状态、每轮从零。于是最耗时的从来不是工具会不会用,而是上下文在环节之间不断流失——上一步的判断、证据和审批,到下一步就散了,最后只能靠人用记忆去接。demo 演示的是模型的上限,工程考验的是这条流程守不守得住。
这套认识不是一开始就有的,是前面两个项目一步步逼出来的。第一个是 2025 年初的 PrivHunterAI(https://github.com/Ed1s0nZ/PrivHunterAI):用被动代理抓 HTTP,替换凭证后对比两次响应,交给大模型判断有没有越权。做法直接,也证明了 AI 在安全里能用,但它的角色只是个判断器——盯一种漏洞、靠一段 prompt,AI 只回答“是/否/无法确定”,能判断却没法行动,也记不住上下文。第二个是2025 年中的 AIMergeBot(https://github.com/Ed1s0nZ/AIMergeBot),审 GitLab 的代码合并请求,引入了 ReAct + MCP:AI 不再只给结论,而是能多步推理,并调一组工具去取文件、查上下文、追函数调用链。相比 PrivHunterAI,AI 从“判断”挪到了“会用工具的推理”,但它还锁在代码审查这一个场景里,工具和流程都是为这件事定制的。
两步各解决了一半:一个验证了 AI 判断的价值,一个验证了 ReAct + MCP 这套“推理加工具”的骨架能用。CyberStrikeAI 是把这些拼到一起再往上补——不限定单一漏洞或单一场景,让自然语言意图变成一条可规划、可执行、可审查、可复盘、能沉淀上下文的多智能体流程;下面的 MCP 工具、Eino 编排、攻击链图谱、RAG 知识库、HITL,是围绕这条流程配合的,不是各自独立的功能。回头看,MCP、agent 编排、单场景踩出来的坑,都是前两个项目留下的底子,现在的方向是这么一步步试出来的。
新增:浏览器插件
这次新增 Chrome / Edge 的浏览器扩展,集成在 DevTools 里。此前已有的 Burp 插件走的是同一条路:以原始流量为入口。
盯着流量,是因为对 Web 安全来说,流量是最贴近攻击面的一层——请求怎么构造、参数怎么流转、鉴权怎么做、后端怎么回,都在 HTTP 报文里。
但入口在往浏览器迁。调 API 用 F12,验逻辑看 Network,复现问题依赖页面运行时的状态;前端框架、GraphQL、SSE、WebSocket 让很多关键请求不再走外挂代理。AI 如果只能在独立控制台等人粘贴,拿到的就是二手流量。浏览器插件把捕获放到流量发生处,归一化成 HTTP/1.1,和 Burp 插件用同一套语义。
插件保留了一些限制:捕获可暂停、Token 有有效期、发送前校验权限。一个自行大量抓取、长期持有凭证的安全插件本身就是风险,所以这些没省。
安装:chrome://extensions/ → 开发者模式 → 加载已解压目录 → F12 → CyberStrikeAI 标签页。
微信 7 群开放
前几个群满了,微信 7 群开放。
安全工具靠信任才用得起来:得知道它做了什么、有没有后门、出问题能不能查。这种信任靠代码公开、能复现的 Issue、对审计日志这类细节的持续投入慢慢攒,不是靠一篇推文。
关于授权
CyberStrikeAI 仅供授权测试。对一个能自动执行攻击、内置轻量 C2 的项目,这不是文末的例行声明,是要处理的问题。
AI 的价值在于放手让它自动做,安全的底线是有些操作不能不受控地自动做,两者方向相反。CyberStrikeAI 的处理是把责任写进流程:哪些操作可自动执行、哪些须人工确认、哪些进白名单免审、哪些一律拦截,敏感动作是否留痕、能否回放,都可配置、可审计;审计环节可以单挂一个独立小模型复核。执行再快,每一步仍能查到由谁批准、出于何因。
获取与加入
项目地址 https://github.com/Ed1s0nZ/CyberStrikeAI
浏览器插件
路径:plugins/browser-extension/cyberstrikeai-browser-extension/
安装:chrome://extensions/ → 开发者模式 → 加载已解压 → F12 → CyberStrikeAI 标签页
文档:plugins/browser-extension/cyberstrikeai-browser-extension/README.zh-CN.md
声明 CyberStrikeAI 仅供授权安全测试、研究与教育用途。请遵守当地法律法规与目标系统授权范围。
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:低调学安全 学安全也就图一乐 学安全也就图一乐《CyberStrikeAI 过 5000 Star:新增浏览器插件,微信 7 群开放》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论