文章总结: 启明星辰发布天镜AI-PTS自动化渗透测试系统,采用双引擎架构和多智能体协同,解决漏洞发现与验证断层问题。系统支持无害化和实战化两种模式,通过环境自适应解析、载荷智能变形等技术提升漏洞利用效率,已在政府、金融、能源等行业验证,可有效降低攻击面并支持合规审计。 综合评分: 84 文章分类: 渗透测试,红队,内网渗透,AI安全,安全工具
启明星辰发布天镜AI-PTS,破解漏洞验证自动化难题
Cismag Cismag
信息安全与通信保密杂志社
2026年7月9日 17:41 四川
在小说阅读器读本章
去阅读
当前,人工智能技术显著提升代码级安全漏洞的批量发现效率,其中以Mythos为代表的大模型工具在漏洞挖掘中表现突出。然而,行业实践中“漏洞发现”与“可利用性验证”之间仍存在明显断层:大量可被挖掘的漏洞,难以在真实网络环境中安全可控地完成可利用性验证。
这一困境主要源于:一是专业渗透测试人员培养周期长、成本高;二是现有测试工具功能分散,缺少覆盖完整攻击链路的工程化落地;三是通用大模型在安全测试中输出不稳定,操作边界模糊。因此,自动化渗透测试在实际攻防场景中的落地效果未达预期。
天镜AI自动化渗透测试系统
基于此,启明星辰推出天镜AI自动化渗透测试系统(以下简称“天镜AI-PTS”)。该系统以大模型智能决策、多智能体协同为核心,深度模拟红队专家渗透思维与攻击调度逻辑,通过识别自然语言输入的测试任务,智能体调度全栈渗透能力,自动分级生成渗透测试计划,对目标开展全流程自动化渗透测试。
一、双引擎架构
天镜AI-PTS采用“漏洞智能利用引擎+智能决策引擎”的双引擎架构,将漏洞知识转化、攻击链路编排和测试过程验证统一纳入自动化流程,既实现漏洞资源的沉淀与复用,也具备面向真实环境的任务理解、路径规划和结果验证能力,从而提升自动化渗透测试的连续性、准确性和工程化落地效率。
1、漏洞智能利用引擎
该引擎负责对漏洞信息、PoC脚本和验证逻辑进行标准化处理,从环境自适应解析、载荷智能变形、插件自动化入库三个维度完成漏洞实战化改造,形成可复用、可编排、可追踪的测试能力,显著提升漏洞实战复用率。
-
环境自适应解析:自动测绘目标资产架构、中间件版本、防护策略,基于现场环境动态构造漏洞利用载荷,使其匹配目标测试环境。
-
载荷智能变形:依托AI对抗算法对攻击代码动态混淆与分段加密,降低攻击特征被防护设备识别和拦截的概率。
-
插件自动化入库:验证可用的漏洞利用脚本自动封装为标准化插件,沉淀企业专属安全武器库。
2、智能决策引擎
该引擎模拟面向具体目标环境,结合资产信息、漏洞特征和验证反馈,动态生成测试计划并调整执行路径,实现类人工红队的自主思考与临场应变。运行中具备以下能力:
- 当某一攻击链路被阻断时,系统自动分析现有信息,并行启动多条备用路径进行试探;
- 根据已获取的目标系统权限和网络拓扑信息,自主规划后续提权与横向移动的操作序列;
- 实时识别目标环境的防护策略,动态调整攻击方法,适配多变的防御环境。
二、双运行模式
为兼顾渗透测试效果与运行安全,天镜AI-PTS提供无害化模式和实战化模式两类运行机制,可根据测试目标、授权范围和环境敏感度灵活切换,在保障业务安全的前提下,满足不同强度、不同场景的自动化渗透测试需求。
1、无害化模式
面向日常评估、合规测评和生产验证,强调低风险、可控执行和证据留存。内置高风险操作拦截机制,对文件写入删除、通道创建、拒绝服务、持久化、暴力破解等行为实时监控,触发风险即终止操作并反馈,由AI转为非侵入方式确认漏洞。
2、实战化模式
面向授权攻防演练、靶场和武器验证,开放完整攻击链路,支持漏洞利用、路径验证和风险影响评估,帮助用户在受控环境中检验真实防护能力与应急响应水平。
三、多智能体协同
天镜AI-PTS底层采用多智能体协同编排架构,内置多个面向不同测试阶段的专业智能体,分别负责情报分析、资产发现、漏洞验证、攻击路径研判和报告整理等任务。
各智能体围绕统一上下文协同工作,将复杂渗透测试拆解为可编排、可追踪、可复核的执行流程,提升多步骤安全测试的连续性与结果可信度。
同时,天镜AI-PTS采用容器化沙箱承载安全工具执行与结果采集,实现任务过程隔离、执行留痕和统一调度,形成从资产测绘到风险验证的自动化测试闭环。
四、多元场景应用
目前,天镜AI-PTS的攻击脚本库与渗透链路已在政府、金融、能源等行业的实际环境中完成多轮验证,参与大量的安全测试项目,沉淀了丰富的安全测试实践经验。
在政府行业,面对政务单位资产复杂、底数不清、漏洞验证周期长等问题,系统通过自动化资产梳理、弱点识别和无害化验证,帮助客户快速掌握重点系统风险分布,形成可追溯的验证证据和整改建议,有力支撑日常安全检查、重大活动保障和攻防演练前的风险排查。
在金融行业,业务连续性要求极高,生产环境对测试动作高度敏感。系统可在无害化模式下对互联网业务、网银、移动端接口、API服务和后台管理系统开展低侵入验证,重点识别未授权访问、越权、敏感信息泄露、注入类漏洞和配置缺陷,并通过标准化报告支持合规审计与整改闭环。
在能源行业,生产控制区、管理信息区、远程运维入口和多级分支网络并存,资产分布广、异构性强。系统围绕授权范围分阶段开展可控测试,优先梳理外部暴露资产和关键入口风险,结合指纹识别、漏洞验证和路径分析,帮助客户发现薄弱环节,有效降低远程接入、运维通道和历史系统带来的攻击面。
以Mythos为代表的大模型技术突破了漏洞挖掘的效率瓶颈,但未来安全测评的核心竞争力终将落脚于漏洞实战化落地能力。天镜AI-PTS将持续跟进全球大模型技术迭代,不断优化红队决策算法与工具转化能力,持续打磨全场景自动化渗透能力,以轻量化方式筑牢主动防御体系。
来源:启明星辰集团
★
★ ★ ★
★
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:信息安全与通信保密杂志社 Cismag Cismag《启明星辰发布天镜AI-PTS,破解漏洞验证自动化难题》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论