文章总结: Miko是一款基于Tauri2+React构建的开源桌面应用,定位为渗透测试中的AI探路者。其核心设计采用黑板机制,由LLM调度主Agent管理Facts、Intents、Findings三类信息,驱动探索子Agent执行任务并持续记录探索树。内置subfinder、fscan等多款工具,支持会话转项目持久化及移动端适配。项目已开源,提供Windows便携版,适合安全测试人员用于自动化信息收集与攻击面管理。 综合评分: 85 文章分类: 渗透测试,AI安全,安全工具
Miko-专注力机制AI安全测试 Agent [开源]
原创
kunlun kunlun
只愿壹生爱壹人
2026年7月9日 11:20 安徽
在小说阅读器读本章
去阅读
开源
Miko 是一个运行在本机的桌面应用——基于 Tauri 2 + React 构建,内置多款安全工具和skills,开箱即用,适配国内API(文中示例使用deepseek)。它的定位是渗透测试中的”AI 探路者”:不是黑盒替测试工程师做决策,而是在信息收集和探测阶段持续深挖、记住每一步发现、把探索路径清晰地摊在用户面前。
如果你用过通用 AI 编程助手做安全测试,大概都遇到过同一个问题:问一句答一句,没有记忆。第二轮对话不知道第一轮扫出了什么、第三轮忘了第二轮的线索——Agent 像金鱼一样每次从头开始。更麻烦的是,会话越积越多,散落在一堆标签页里,每次都要手动整理探测记录、拼测试文档,隔天打开还得先翻半天回忆上次探到哪了。Miko 要解决的正是这一整套问题。
黑板机制:让 Agent 记住自己探过什么
Miko 的核心设计基于一个前沿的 Agent 架构思路:将调度编排与执行探索分层,由 LLM 直接承担调度决策,形成”会话主 Agent 自己跑 OODA 循环”的运转模式。这个方向在近两年的多 Agent 协作和自主安全测试研究中已有论文探讨——核心思想是把”下一步探什么”的决策权留在上下文最完整的调度层,执行层只接收限定任务、干完汇报、不参与决策。
具体来说,用户开启安全测试模式后,会话主 Agent 扮演 dispatcher 角色——它持有一块”黑板”(共享作战地图),上面记录着三类信息:
-
Facts
:已确认的客观事实。比如”端口 8888 开放””技术栈 PHP 8.1″”
/.git目录存在泄露”。 -
Intents
:想探但还没探完的方向。比如”SSRF 待测””登录绕过待试”。
-
Findings
:确认或疑似的安全发现。比如”精度舍入漏洞””SQL 注入”。
主 Agent 的运作逻辑是:读黑板 → 对照目标判断哪些入口还没覆盖 → 挑一个待探 intent → 派探索子 agent 去打 → 解析子 agent 返回的结果 → 写回黑板 → 循环。这个循环持续到目标达成、覆盖度足够,或者用户主动介入纠偏。
探索子 agent 本身不碰黑板——它只接收 dispatcher 喂给它的一张”图快照”(当前已知的事实和待探方向),带着明确任务去打目标,然后把结果以结构化 JSON 吐回主 agent。
黑板上的每一个节点——无论是 asset(攻击面对象,如子域名、端口、接口)、fact、intent 还是 finding——都带 parentId,连成一棵深度不固定的探索树,用户可以折叠、展开、点击任意节点看三槽细节。
专注力与覆盖面
Miko 提供的是一个”人在回路”的协作模式:Agent 负责不知疲倦地深挖和记录,用户清晰可知,方便指挥调整方向。
覆盖面控制允许用户在横向扩展(广度优先,枚举更多攻击面)和纵向深挖(深度优先,沿一条线索往下打)之间切换。
工具链和技能库
Miko 内置了 subfinder、katana、fscan、gobuster、ffuf、radare2 等 多款测试工具,以及覆盖信息收集、代码审计、漏洞探测、逆向分析、移动安全等测试技能,开箱即用。
会话转项目
有时候临时开了个会话测一测,测完就丢了。下次再来不知道上次探到哪了。
Miko 支持一键将临时会话转成持久化项目。项目中保留所有会话记录、探索节点树、LLM 提炼的结构化发现(findings)。项目页按 Findings / Intents / Assets / Sessions 四个维度展示,每个 finding 都能点进去看原始会话上下文。项目管理界面以卡片列表呈现所有项目,一目了然地显示每个项目的目标、关联会话数、发现数量和时间线。
移动端
前端做了移动端适配,在手机浏览器上也能查看会话和项目状态(不耽误躺着玩手机)。
项目完全开源(GitHub: OpenAisec/Miko),提供 Windows 便携版直接下载,clone 后执行 build-portable-win.ps1 即可从源码编译。前提条件:Bun ≥ 1.0、Rust cargo ≥ 1.80、Visual Studio 2022 含 C++ 桌面开发工作负载。
下载与链接
- GitHub 仓库:https://github.com/OpenAisec/Miko
- 开箱即用:https://github.com/OpenAisec/Miko/releases
- 编译指南:https://github.com/OpenAisec/Miko/blob/main/BUILD.md
- 反馈交流群 后台私信:Miko
当前打包版本仅支持 Windows,后续会覆盖Mac/Linux。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:只愿壹生爱壹人 kunlun kunlun《Miko-专注力机制AI安全测试 Agent [开源]》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论