俄羅斯網安巨頭開源「AI駭客」

Source: Internet

來源: 網路

導讀 Positive Technologies的團隊開源了PentAGI——一套完全自主的AI多智能體滲透測試系統。給它一個目標，它自己調用nmap、Metasploit、sqlmap等20多種駭客工具，4個Agent分工偵察、掃描、漏洞利用、報告生成，全程零人工干預。GitHub star飆升，近4000人點贊，安全圈直接炸了。傳統紅隊一次演練花3萬到5萬美元，耗時數周——這玩意兒只需要一條Docker命令。

一個會自己搞滲透的AI

PentAGI的全稱是Penetration testing Artificial General Intelligence——滲透測試通用人工智慧。

這個名字本身就夠嚇人了。

你給它一個目標（比如一個Web應用的地址），然後它會自己：

1. 偵察階段— 一個Agent專門負責掃描目標，發現開放端口和服務

2. 分析階段— 另一個Agent分析攻擊面，決定從哪里下手

3. 攻擊階段— 第三個Agent嘗試各種攻擊向量（SQL注入、XSS、目錄遍曆、認證繞過……），走不通就換策略

4. 報告階段— 最後一個Agent把找到的漏洞寫成詳細報告，附帶利用指南

關鍵是：這四個Agent之間會互相通信，即時調整策略。就像一支訓練有素的特種部隊，各司其職又默契配合。

▲ 推特用戶chiefofautism的PentAGI介紹推文（3855贊，39萬流覽）

20+專業駭客工具，一鍵打包

PentAGI不是從零開始造輪子——它站在巨人的肩膀上。

整個系統打包成一個Docker容器，預裝了安全圈最經典的工具集：

· nmap— 端口掃描的瑞士軍刀

· Metasploit— 滲透測試框架之王

· sqlmap— SQL注入自動化神器

· hydra— 暴力破解工具

· 還有十幾種其他工具

AI會根據目標情況，自己決定用哪個工具、什麼時候用。你只需要指定目標，然後就可以走開了。

它還有一套Knowledge Graph（知識圖譜）系統，基於Neo4j，能記住之前的攻擊經驗，下次遇到類似目標直接複用成功策略。

安全圈炸鍋了

這條推文在推特上直接爆了。

▲ 大V 0xMarioNawfal轉發並提問：網路安全公司是不是要完蛋了？（371贊，7萬流覽）

評論區兩極分化嚴重：

一邊是興奮的安全研究員，覺得這是革命性的工具：

"紅隊演練一次花3萬到5萬美元，耗時數周。這只需要一條Docker命令和API tokens。"

另一邊是恐懼的從業者，擔心自己的飯碗：

"網路安全公司是不是已經走到盡頭了？"

更多人關心的是：這東西要是被壞人拿去用怎麼辦？

自適應集群：下一場戰爭是統籌

安全專家Martin Szerment看得更深——他認為PentAGI代表的不只是一個工具，而是一種全新的攻擊範式：

"認為網路安全能力會隨著分析師數量增加而線性增長的想法已經過時了。"

"那可不是腳本小子的玩意兒，那是自適應集群。"

"基於靜態戰術手冊構建的防禦體系無法應對不斷變化的意圖。大多數團隊仍然以事件為導向思考問題。下一場戰爭的重點在於統籌安排。"

"要麼適應，要麼被淘汰。"

PentAGI不是唯一的

更恐怖的是——PentAGI不是孤例。

另一個叫Shannon的AI滲透測試工具也在安全圈引發了巨大關注。它專注於Web應用安全，通過代碼分析找到攻擊向量，然後用真實的流覽器漏洞利用來驗證。

▲ Cyber Security News報導Shannon：全自主AI滲透測試工具（709贊，3.4萬流覽）

而商業化的AI滲透平臺XBOW更是已經上了AWS Marketplace，直接開賣。

▲ XBOW宣佈上架AWS Marketplace，AI滲透測試開始商業化

真正可怕的問題

PentAGI是開源的，Apache 2.0許可，任何人都可以用。

這意味著：

· 安全研究員可以用它來快速發現自己系統的漏洞

· 企業可以用它來替代昂貴的紅隊演練

· 但惡意攻擊者也可以用它來自動化攻擊

一次傳統紅隊演練的成本是3萬到5萬美元，耗時數周。PentAGI只需要一條Docker命令、一個AI模型的API key，和一杯咖啡的時間。

當攻擊成本降到接近零的時候，防禦該怎麼辦？

這可能是2026年安全圈最該認真思考的問題。

Disclaimer: All materials and information on the Website are for general information only and shall not be treated as a substitute for legal or other professional advice and shall not be relied on as such. Such materials and information are provided on an “as is” basis without any express or implied warranty or guarantee of any kind.

免責聲明: 載於本網站的所有材料及資料只供一般參考之用，並不應被視為可取代，或被依賴作為，法律或其他專業意見。該等材料及資料均以「現況」形式提供，並無任何種類的明示或隱含的保證或擔保。