启明星辰发布天镜AI-PTS,破解漏洞验证自动化难题

发布时间 2026-07-08
当前,人工智能技术显著提升代码级安全漏洞的批量发现效率,其中以Mythos为代表的大模型工具在漏洞挖掘中表现突出。然而,行业实践中“漏洞发现”与“可利用性验证”之间仍存在明显断层:大量可被挖掘的漏洞,难以在真实网络环境中安全可控地完成可利用性验证。


这一困境主要源于:一是专业渗透测试人员培养周期长、成本高;二是现有测试工具功能分散,缺少覆盖完整攻击链路的工程化落地;三是通用大模型在安全测试中输出不稳定,操作边界模糊。因此,自动化渗透测试在实际攻防场景中的落地效果未达预期。



天镜AI自动化渗透测试系统



基于此,启明星辰推出天镜AI自动化渗透测试系统(以下简称“天镜AI-PTS”)。该系统以大模型智能决策、多智能体协同为核心,深度模拟红队专家渗透思维与攻击调度逻辑,通过识别自然语言输入的测试任务,智能体调度全栈渗透能力,自动分级生成渗透测试计划,对目标开展全流程自动化渗透测试。



一、双引擎架构


天镜AI-PTS采用“漏洞智能利用引擎+智能决策引擎”的双引擎架构,将漏洞知识转化、攻击链路编排和测试过程验证统一纳入自动化流程,既实现漏洞资源的沉淀与复用,也具备面向真实环境的任务理解、路径规划和结果验证能力,从而提升自动化渗透测试的连续性、准确性和工程化落地效率。


1、漏洞智能利用引擎


该引擎负责对漏洞信息、PoC脚本和验证逻辑进行标准化处理,从环境自适应解析、载荷智能变形、插件自动化入库三个维度完成漏洞实战化改造,形成可复用、可编排、可追踪的测试能力,显著提升漏洞实战复用率。


环境自适应解析:自动测绘目标资产架构、中间件版本、防护策略,基于现场环境动态构造漏洞利用载荷,使其匹配目标测试环境。

载荷智能变形:依托AI对抗算法对攻击代码动态混淆与分段加密,降低攻击特征被防护设备识别和拦截的概率。

插件自动化入库:验证可用的漏洞利用脚本自动封装为标准化插件,沉淀企业专属安全武器库。


2、智能决策引擎


该引擎模拟面向具体目标环境,结合资产信息、漏洞特征和验证反馈,动态生成测试计划并调整执行路径,实现类人工红队的自主思考与临场应变。运行中具备以下能力:


当某一攻击链路被阻断时,系统自动分析现有信息,并行启动多条备用路径进行试探;

根据已获取的目标系统权限和网络拓扑信息,自主规划后续提权与横向移动的操作序列;

实时识别目标环境的防护策略,动态调整攻击方法,适配多变的防御环境。


二、双运行模式


为兼顾渗透测试效果与运行安全,天镜AI-PTS提供无害化模式和实战化模式两类运行机制,可根据测试目标、授权范围和环境敏感度灵活切换,在保障业务安全的前提下,满足不同强度、不同场景的自动化渗透测试需求。


1、无害化模式


面向日常评估、合规测评和生产验证,强调低风险、可控执行和证据留存。内置高风险操作拦截机制,对文件写入删除、通道创建、拒绝服务、持久化、暴力破解等行为实时监控,触发风险即终止操作并反馈,由AI转为非侵入方式确认漏洞。


2、实战化模式


面向授权攻防演练、靶场和武器验证,开放完整攻击链路,支持漏洞利用、路径验证和风险影响评估,帮助用户在受控环境中检验真实防护能力与应急响应水平。


三、多智能体协同


天镜AI-PTS底层采用多智能体协同编排架构,内置多个面向不同测试阶段的专业智能体,分别负责情报分析、资产发现、漏洞验证、攻击路径研判和报告整理等任务。


各智能体围绕统一上下文协同工作,将复杂渗透测试拆解为可编排、可追踪、可复核的执行流程,提升多步骤安全测试的连续性与结果可信度。


同时,天镜AI-PTS采用容器化沙箱承载安全工具执行与结果采集,实现任务过程隔离、执行留痕和统一调度,形成从资产测绘到风险验证的自动化测试闭环。


四、多元场景应用


目前,天镜AI-PTS的攻击脚本库与渗透链路已在政府、金融、能源等行业的实际环境中完成多轮验证,参与大量的安全测试项目,沉淀了丰富的安全测试实践经验。


在政府行业,面对政务单位资产复杂、底数不清、漏洞验证周期长等问题,系统通过自动化资产梳理、弱点识别和无害化验证,帮助客户快速掌握重点系统风险分布,形成可追溯的验证证据和整改建议,有力支撑日常安全检查、重大活动保障和攻防演练前的风险排查。


在金融行业,业务连续性要求极高,生产环境对测试动作高度敏感。系统可在无害化模式下对互联网业务、网银、移动端接口、API服务和后台管理系统开展低侵入验证,重点识别未授权访问、越权、敏感信息泄露、注入类漏洞和配置缺陷,并通过标准化报告支持合规审计与整改闭环。


在能源行业,生产控制区、管理信息区、远程运维入口和多级分支网络并存,资产分布广、异构性强。系统围绕授权范围分阶段开展可控测试,优先梳理外部暴露资产和关键入口风险,结合指纹识别、漏洞验证和路径分析,帮助客户发现薄弱环节,有效降低远程接入、运维通道和历史系统带来的攻击面。


以Mythos为代表的大模型技术突破了漏洞挖掘的效率瓶颈,但未来安全测评的核心竞争力终将落脚于漏洞实战化落地能力。天镜AI-PTS将持续跟进全球大模型技术迭代,不断优化红队决策算法与工具转化能力,持续打磨全场景自动化渗透能力,以轻量化方式筑牢主动防御体系。