基于AI驱动的实战网络攻击
2025 年 11 月,上海·磐石行动,《基于 AI 驱动的实战网络攻击》主题演讲 PPT 和讲稿已经过数据输出审批。
核心结论
AI 驱动的实战攻击,核心价值是把安全专家经验变成可执行、可观测、可迭代的攻击能力。 传统实战检验高度依赖人的经验、状态、时间和对业务的理解。AI 让攻击任务可以被持续拆解、执行、复盘和优化,从而更真实地模拟黑客路径,帮助防守方发现体系薄弱点。
通用 Agent 直接做渗透测试,效果很容易卡在“会操作但不够专业”。 它可以理解页面、调用工具、尝试漏洞和执行多步任务,但在真实企业环境中,关键瓶颈通常是专家对目标、路径、优先级和上下文的判断。让 Agent 变强的关键,是把专家知识、执行引擎和工具基础设施组织起来。
AI 安全实战的方向,是从“AI 辅助人”走向“人观测和训练 AI”。 人类不需要在每一步填写参数、点击按钮、判断分支,而是负责定义目标、审视过程、评估结果,并把有效经验沉淀回攻击模式图、运行时和工具体系中。
背景
实战网络攻击检验的理想状态,是持续、深入、覆盖真实业务路径。防守方希望通过实战检验揭示未知薄弱点,验证既有防护机制,降低真实攻击者利用风险。
现实中,单靠外部 SRC、周期性红蓝演练或内部蓝军,很难稳定达到这个目标。外部报告往往集中在互联网边界和相对标准化的漏洞;红蓝演练受周期、团队经验和业务理解影响较大;内部蓝军可以获得更多上下文,但长期看容易变成堆人力、堆经验的模式。
AI 带来的变化,是攻击能力开始具备“复制专家经验”的可能。早期 Demo 已经可以在给定攻击意图后,自主拆解步骤、操作浏览器、理解目标功能、调用命令行和验证风险链路。它还远没有达到高级攻击者的水平,但已经说明一个方向:AI 可以承担大量基础探索和执行工作。
问题也随之暴露。通用 Agent 往往追求覆盖所有场景,导致上下文过载、目标不聚焦、测试路径低效。人类专家做办公网站测试时,会先根据经验判断身份体系、敏感功能、业务入口和最可能的突破路径;通用 Agent 可能机械地遍历功能、扫描 CVE、重复尝试低价值路径。真正需要解决的是:如何把专家经验变成 AI 可以稳定执行的能力。
从提示词到意图工程
AI 在安全领域的使用大致经历了三个阶段。
第一阶段是提示词工程。 人直接和基础模型对话,通过提示词让模型分析代码、解释漏洞、生成测试思路或辅助编写安全文档。它适合轻量任务,但缺少持续执行能力。
第二阶段是上下文工程。 Agent 借助 ReAct、Plan-and-Execute、RAG、MCP 和工具调用完成更复杂的任务。典型能力包括安全知识问答、漏洞挖掘辅助、代码审计辅助,以及和已有安全系统互动。
第三阶段是意图工程。 安全专家把“我要检查什么、按什么路径检查、什么信息影响下一步、工具如何使用、结果如何判断”表达为可执行意图。意图工程关注专家意图能否被稳定理解、执行、复盘和迭代。
实战攻击的复杂性决定了它更适合意图工程。攻击是一条带有目标、状态、工具、反馈和分支判断的行为链。
APG:攻击模式图
APG(Attack Pattern Graph)是把专家经验结构化为可执行知识的方式。 它用图结构表达渗透测试过程中的节点、边和属性:当前要判断什么、需要什么上下文、建议调用什么工具、什么结果进入下一步、什么时候停止或升级。
APG 可以理解为高维提示词,但它比普通提示词更稳定。普通提示词描述的是“你应该怎么想”,APG 描述的是“你应该沿着什么路径做”。它把原本写给人的 SOP、测试经验和攻击路径,变成 AI 可以执行、可以复用、可以持续优化的知识。
传统框架如 ATT&CK、PTES、Kill Chain、Attack Trees 更适合给人建立认知和分类。它们能告诉安全人员攻击阶段和技术类别,却很难直接驱动 Agent 在具体目标上执行。APG 的重点,是把知识粒度下沉到可执行程度。
以办公管理后台测试为例,APG 可以从域名开始,依次判断身份体系、登录方式、敏感功能、权限边界、接口暴露和可疑数据流。每个目标跑完后都会形成实例数据图,多次执行后可以聚合出攻击面地图和薄弱路径。
APG Runtime:让图真正跑起来
APG 只是静态知识,APG Runtime 才负责执行。 Runtime 在 APG 和底层 LLM 之间充当中间层,把攻击图解释成模型可以理解的任务,把模型输出转换成可控的工具调用和状态推进。
APG Runtime 的核心能力包括图遍历、提示词编译、上下文管理、工具调度和执行状态维护。它要保证 Agent 沿着明确状态机和执行路径推进任务,减少每次凭感觉重新开始带来的不稳定。
这种设计的价值在于稳定性。大模型天然会受上下文、采样和表达方式影响,容易出现执行不一致。Runtime 把“应该走哪条路径、当前处于哪个阶段、下一步需要什么证据”从模型自由发挥中抽出来,让模型主要承担理解、推理和生成代码的工作。
实现上,轻量、可控、现代的 Agent 框架更适合这类场景。过重的状态机编排会增加维护成本;高度封装的黑盒 Agent SDK 又会削弱对执行链路的控制。实战攻击平台需要的是可调试、可审计、可替换的运行时。
Offensive Infrastructure:给 AI 足够强的工具肌肉
攻防领域的效果差异,很大一部分来自工具能力。 不能让 AI 每次重新解决已经被安全工具解决过的问题,也不能把所有工具都设计成只适合人类点击的图形界面。
AI 时代的攻击基础设施应该是 AI Native 的。传统工具如 BurpSuite、CobaltStrike 更适合人类操作;AI 更适合阅读文档、生成脚本、组合接口和自动处理结果。因此,工具需要被改造成 AI 能理解、能调用、能编排、能复盘的能力组件。
这里的关键思路是 CodeMode:让 AI 编写 Python 脚本去调用沙箱中提供的安全工具,减少在命令行、MCP、Tool 之间的低效来回交互。AI 从工具调用者变成工具编排者,既能复用既有工具能力,又能根据目标上下文生成更灵活的执行逻辑。
工具基础设施要覆盖基础操作能力和攻击工具能力。前者包括浏览器、命令行、文件系统、应用接口等;后者包括信息收集、漏洞验证、权限检验、攻击路径记录和结果归档。所有工具调用都应可观测、可审计、可回放,避免 AI 攻击平台变成不可控的黑盒。
观测、审计与反馈
AI 攻击平台的形态应该从操作台变成观测指挥平台。 人类给出目标后,AI 负责意图理解、任务拆解、信息收集、风险验证和路径记录。平台负责展示 AI 在做什么、为什么这么做、依据是什么、结果是否可信。
观测解决过程透明问题。安全人员需要看到 Agent 的目标、当前阶段、上下文来源、工具调用、关键证据和风险判断。
审计解决可追溯问题。每一次工具调用、数据读取、外部访问和结果写入都应该留下证据,便于复盘、纠错和风险控制。
反馈解决能力迭代问题。人类重点关注不符合预期的部分:路径选择是否低效、上下文是否不足、工具是否不好用、判断是否过度自信、结果是否可复现。反馈再反向进入 APG、APG Runtime 和 Offensive Infrastructure,形成持续优化闭环。
落地判断
这套体系已经适合进入 ASM、BAS、办公网风险挖掘与验证等场景。它更适合承担基础探索、重复验证、路径枚举、工具编排和证据整理,把安全专家从低价值重复劳动中释放出来。
短期看,AI 驱动的攻击智能体会成为可复制的蓝军专家能力。长期看,它会从单 Agent 执行走向多领域 Agent 协作:资产发现 Agent、应用测试 Agent、权限分析 Agent、横向路径分析 Agent、数据影响评估 Agent 共同工作,形成更接近真实攻击者的持续检验能力。
更远的方向是 AI 自迭代。AI 不只执行 APG,还能根据失败案例、成功路径和防守响应反向优化 APG、工具和运行时策略。到这个阶段,实战攻击检验会从“组织一场演练”变成“持续运行一套攻击能力校准系统”。
防守启示
AI 驱动攻击的出现,会倒逼防守体系升级。防守方不能只假设攻击者是人,也要假设攻击者拥有长期在线、自动试错、快速复盘和工具编排能力。
这意味着防守体系要更重视四件事:资产和接口的持续可见、身份与权限的最小化、关键行为链路的可观测、异常执行路径的快速阻断。AI 攻击越自动化,防守越不能依赖人工发现和临时响应。
真正的目标是让防守方先用 AI 逼近真实攻击者能力。只有更早、更持续、更系统地看见自己的薄弱路径,安全体系才有机会在真实攻击到来前完成校准。