标签: 自主AI攻击

  • Strix:让 AI 当黑客,自动找出并修复你应用的真实漏洞(40.8K Stars)

    Strix:让 AI 当黑客,自动找出并修复你应用的真实漏洞(40.8K Stars)

    Strix 封面

    一句话先说清楚:Strix 是一个开源的自主 AI 渗透测试智能体(Autonomous AI Pentesting Agents)。它不像传统扫描器那样丢给你一堆“可能存在风险”的噪音告警,而是真的会动态跑起你的代码、模拟攻击者思维去打、再用可验证的 PoC 证明漏洞确实存在——最后还顺手把补丁和报告给你写了。

    项目简介

    usestrix/strix,Apache-2.0 协议,纯 Python 写就,目前在 GitHub 上已经 4 万+ Stars,连续多周霸榜 Trending。它的定位很直白:把“请安全公司做一次渗透测试”这件事,从“几万块、等几周”,变成“一条命令、几分钟”。它支持本地代码库、GitHub 仓库、线上应用三种目标模式,也能多目标并行扫描。

    安装要求和过程

    Strix 的依赖极其克制,你只需要两样东西:

    • 一个正在运行的 Docker(首次运行自动拉取沙箱镜像,把攻击行为关在隔离环境里);
    • 一个任意主流 LLM 的 API Key(OpenAI / Anthropic / Google 都行,底层走 LiteLLM)。

    安装就一行:

    curl -sSL https://strix.ai/install | bash

    配置好供应商和目标,开跑:

    export STRIX_LLM="openai/gpt-5.4"
    export LLM_API_KEY="your-api-key"
    strix --target ./app-directory

    首次运行会自动拉取沙箱 Docker 镜像,结果全部落进 strix_runs/<run-name>。如果你是 Windows,注意它本质是个 Python 包 + Docker,建议走 WSL2,别在原生 CMD 里硬刚。

    核心功能

    1. 真实漏洞验证,拒绝误报——这是它和传统扫描器最大的区别。Strix 会实际构造攻击载荷、命中、再生成可复现的 PoC 代码,只报“已被验证”的漏洞。传统工具 60-80% 的误报率,在这里被砍掉了。

    2. 多智能体协同的“红队”——侦察 Agent 画攻击面地图,注入测试 Agent 专攻 SQL/命令注入,权限提升 Agent 测越权与认证绕过,前端 Agent 查 XSS/CSRF。它们并行工作、互相共享线索,像一支真实的安全团队。

    3. 覆盖 OWASP Top 10 全栈——越权、注入、服务端/客户端攻击、业务逻辑缺陷、认证与会话、基础设施/云、API 安全,一锅端。

    4. 自动修复 + 合规报告——不光告诉你哪儿漏了,还生成补丁和合规报告。开发者优先的 CLI,每条发现都带修复指导。

    5. 代理式工具箱——内置 HTTP 拦截代理(Caido)、浏览器利用、Shell 执行、自定义利用运行时、侦察/OSINT、静态/动态分析、漏洞知识库。

    典型使用场景

    场景一:开发流程里的“安全卡点”
    把 Strix 接进 CI/CD。每次 PR 合并前跑一遍 strix -n --target ./ --scan-mode quick,上线前自动兜底。这是它最实用的姿势——让安全从“上线后救火”变成“开发时拦截”,修复成本直接降一个数量级。

    Strix 演示截图

    场景二:Bug Bounty 自动化
    独立安全研究员用它批量扫目标、自动出 PoC。配合 --target-list ./targets.txt 多目标并行,把重复劳动交给 AI,自己专注高价值的逻辑漏洞挖掘。

    场景三:黑盒 Web 应用快速体检
    strix --target https://your-app.com,通过 --instruction 给自然语言指令(比如“用 user:pass 做认证测试”),AI 会像红队一样从外往里打,几分钟出一份带证据的安全评估。

    推荐理由

    我挺吃 Strix 这套“用 AI 模拟真实黑客”的思路。过去做安全,要么花钱请人、要么自己扛一堆误报告警大海捞针。Strix 把“验证”这件事做在了前面——它不拿签名库糊弄你,而是真跑、真打、真证明。多智能体架构也比单 Agent 更像人,侦察-利用-后利用的链条能自动衔接。

    当然,也得泼盆冷水:它目前还很“Alpha”,社区里有资深安全研究员指出它的提示模板还偏基础,跟顶级商业工具比仍有差距;AI 的扫描结果必须人工复核,且绝对不能拿去打未授权目标。但作为开发自测、CI 卡点和学习红队思维的开源玩具,它已经足够香,而且免费、可商用(Apache-2.0)。

    ⚠️ 安全声明:Strix 仅可用于你拥有授权的目标。运行前务必隔离环境,防止模型抽风导致密钥或数据泄露。

    下载地址

  • 全球首例AI Agent自主勒索攻击:JADEPUFFER来了,人类不再需要动手

    勒索软件攻击这件事,人类黑客忙活了这么多年,现在AI Agent说:你让开,我来。

    安全厂商Sysdig的研究人员最近记录到了一例完全由AI Agent自主完成整个攻击流程的勒索软件攻击,攻击者被命名为JADEPUFFER。这不是AI辅助人类黑客,而是AI Agent从头到尾——从利用漏洞、侦察、窃取凭证、横向移动到最终加密数据库——全是自己干的。

    JADEPUFFER AI自主勒索攻击概念图
    全球首例完全由AI Agent自主执行的勒索软件攻击

    它是怎么做到的

    JADEPUFFER利用的是CVE-2025-3248,一个Langflow服务器的关键漏洞,允许攻击者在面向互联网的Langflow服务器上执行任意代码。一旦打进去,这个AI Agent就开始自主运行了:它会自适应地寻找有价值的数据,窃取并复用凭证,然后直接对生产数据库执行加密勒索。

    最让人不安的是它的”自我叙事“能力。研究人員观察到,JADEPUFFER在某次登录尝试失败后,自己调整了方法,31秒后就成功登录了。传统自动化攻击依赖预编写脚本,一旦出错就停下来;但JADEPUFFER能自己推理失败原因、实时调整策略、修复错误,然后继续前进。

    “JADEPUFFER是一个警告信号。它标志着勒索技术正在走向何方。一个自主Agent推理它的目标,收割并复用凭证,横向移动,建立持久化,摧毁数据库——而且全程都在自述意图。”——Sysdig威胁研究团队

    攻击成本将降到接近零

    这个变化最实际的影响,是攻击成本。Sysdig指出,如果Agent运行在被盗用的凭证上(通过LLMjacking),那么一次攻击的成本就从”雇佣一个黑客团队”降到了”运行一个AI Agent的费用”——几乎为零。

    JADEPUFFER还会主动搜索各类敏感信息:LLM API密钥、云凭证(包括阿里云、腾讯云、华为云等中国厂商,当然也有AWS、GCP、Azure)、加密货币钱包、数据库凭证、配置文件。它基本上把自己变成了一个全自动的数据收割机。

    有个细节让人哭笑不得

    勒索信里留了一个比特币地址。但研究人员发现,这个地址看起来像是AI从训练数据里幻觉出来的——它要么是Agent自己编的,要么配置它的人偷懒直接用了比特币开发者文档里的示例地址。如果是前者,这意味着就算受害者付了赎金,钱也打到一个不存在的钱包里。

    更要命的是,加密密钥被打印到了标准输出,但没有持久化存储,也没有传给任何人。也就是说,就算你付了赎金,也恢复不了数据。这个”勒索软件”某种程度上比人类写的还要绝——人类至少还想拿钱。

    这只是一个开始

    Sysdig此前还研究过另一个AI Agent利用Marimo笔记本漏洞发起攻击的案例。那个Agent同样能在被入侵的系统里自主搜索凭证、云访问密钥和数据库凭证。

    JADEPUFFER的出现,标志着网络安全进入了一个新阶段。AI Agent不再是理论威胁,而是已经能够独立完成从侦察到加密的全流程闭环。对企业安全团队来说,这意味着传统的”检测已知攻击模式”的防御思路需要更新了——你现在要防的,是一个会学习、会适应、会自己修bug的对手。