T3MP3ST安全框架:集成35款工具,将AI代码智能体转化为零日漏洞挖掘器

admin 2026-07-10 05:26:41 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: T3MP3ST是一款开源安全框架,可将ClaudeCode等AI代码智能体改造为自主红队工具,无需额外API密钥。在XBEN基准测试中通过率达90.1%,对10个真实CVE漏洞可检出全部。框架设计8类作战角色,但仅侦察引擎和单智能体漏洞利用链路稳定,其他模块仍在实验阶段。仅允许用于授权测试,使用者需承担法律责任。 综合评分: 84 文章分类: 红队,渗透测试,漏洞分析,安全工具,AI安全


cover_image

T3MP3ST 安全框架:集成 35 款工具,将 AI 代码智能体转化为零日漏洞挖掘器

原创

安全客 安全客

安全客

2026年7月7日 16:43 北京

在小说阅读器读本章

去阅读

一款全新开源安全框架 T3MP3ST 正式发布,该工具可将 Claude Code、OpenAI Codex、Hermes 等通用 AI 代码智能体改造为自主红队作战单元,全程无需新增 API 密钥、云端基础设施,也不会产生额外计费成本。

本框架由安全研究员 elder-plinius 开发,其核心定位为多智能体调度层,不内置独立大模型,可沿「信息搜集→漏洞利用→报告输出」完整杀伤链调度多组 AI 智能体协同作业。

使用者可通过网页端「作战指挥室」界面或命令行工具,指定经授权的测试目标;本地已运行的 AI 代码智能体将作为核心运算中枢,全权驱动整套渗透任务。

该框架被称作「无密钥作战体系」:复用用户已有的 AI 智能体会话,无需单独申请各厂商密钥;同时内置出口访问范围隔离机制,配套网络工具会自动拦截对测试范围外公网主机的所有访问行为。

T3MP3ST 安全框架性能实测

在 XBOW 推出的 XBEN 黑盒基准测试集(含 104 道安全赛题)中,T3MP3ST 单次求解通过率达 90.1%;而 XBOW 官方自测基线成绩仅约 85%。所有解题结果均通过固定校验靶标进行打分,配套verify-claims校验命令可随时复现评分结果,保证实验可复现。

在学术安全基准 Cybench(40 项测试任务)中,框架单智能体 ReAct 推理链在无提示辅助条件下完成 23 道题目。

更具突破性的是:针对 2026 年公开披露、覆盖 7 种编程语言的 10 个真实通用漏洞(CVE)测试集,单智能体可精准定位其中 8 处漏洞,锁定对应代码文件、行号并匹配标准 CWE 漏洞分类;整套工具套件可检出全部 10 处漏洞。开发团队表示,该样本规模有限,结果仅具备参考指向性,但测试漏洞发布时间均晚于模型训练数据截止日期,可排除模型记忆复刻的干扰。

框架架构设计了 8 类作战角色,完整覆盖信息侦察、漏洞扫描、漏洞利用、渗透入侵、数据窃取、无痕隐匿、协同调度、分析研判八大环节,逻辑对齐 MITRE ATT&CK 战术矩阵与网络杀伤链标准。目前仅侦察引擎、单智能体漏洞利用链路完成基准测试且版本稳定,可从 GitHub 拉取源码部署。

其余下游作战模块虽复用与侦察模块一致、配套工具驱动的推理逻辑,但仍处于实验阶段,大规模多智能体协同连环渗透能力尚未经过规模化验证。

各应用领域开发进度

红队、蓝队安全从业者在 Reddit 蓝队安全社区等平台均认为,该框架的发布是自主化红队工具领域的里程碑,与行业整体 AI 安全工具发展趋势高度契合。

同期行业同类进展包括 Anthropic 发布的 Mythos 专用安全模型,XBOW 独立测评证实该模型大幅优化漏洞生成与源码安全分析能力,在同等漏洞利用基准测试中将漏报率降低 42%。

合规声明

开发团队着重说明:T3MP3ST 仅允许用于授权测试、安全研究、教学学习场景,采用 AGPL-3.0 开源协议发布,不提供任何担保。

在全球绝大多数司法辖区内,未经目标系统书面明确许可便使用本工具开展测试属于违法行为;使用者需自行承担所有法律责任,并严格遵守攻防测试授权规则。

信息来源:cybersecuritynews.com

推荐阅读

首个AI全流程勒索攻击来了:JADEPUFFER证明,勒索不再需要人类操盘手

2026-07-06

不给钱就社死,勒索软件又有新套路

2026-07-04

紧急!医疗巨头美敦力遭黑客入侵,患者隐私数据大规模外泄,这些坑普通人千万别踩

2026-07-03

SecSuite—— 搭载人工智能的开源情报、Web 与 API 安全综合测试工具

2026-07-02

RedAmon:串联侦察、漏洞利用与后渗透的 AI 安全工具

2026-07-01


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全客 安全客 安全客《T3MP3ST 安全框架:集成 35 款工具,将 AI 代码智能体转化为零日漏洞挖掘器》

评论:0   参与:  0