VulnClaw:自动渗透 agent 正在变成一个品类
两天前 strix 刚在这儿出现过——一个 2.6 万 star 的开源渗透测试 agent 群。今天 VulnClaw 又上了热榜:另一个自动化攻击向安全 agent,6 月 28 号刚发的 v0.3.2,1.1k star 还在涨。一周之内第二个像样的自动攻击工具冒头,这就不是个例了,是一个品类在成形。
VulnClaw 干的事:你用大白话描述一个目标,它自己把整条链跑完——信息收集、漏洞发现、利用、出报告,各阶段之间不用人插手。架构上有意思的是那个目标驱动求解器,基于黑板状态模型而不是固定轮次循环,所以它是目标真达成了就停,而不是傻跑够轮数。它还有一个证据级的幻觉闸门,会拿真实工具输出去核对 AI 的说法再决定信不信,内置 21 个渗透技能,支持 13 家 LLM。
那个幻觉闸门是关键。LLM 做安全最大的毛病就是会一本正经地报一个根本不存在的漏洞;VulnClaw 逼着模型拿工具证据来证明。这跟 strix 靠真实输出来验证是同一套纪律。
往后退一步看就很清楚:攻击向安全正在全面自动化,而恰好这个时候,前沿大厂那些有网络攻击能力的模型正被政府一个个上锁。攻击这边可没等——直接开源扔在 GitHub 上了。链接:github.com/Unclecheng-li/VulnClaw
← 返回所有文章
VulnClaw 干的事:你用大白话描述一个目标,它自己把整条链跑完——信息收集、漏洞发现、利用、出报告,各阶段之间不用人插手。架构上有意思的是那个目标驱动求解器,基于黑板状态模型而不是固定轮次循环,所以它是目标真达成了就停,而不是傻跑够轮数。它还有一个证据级的幻觉闸门,会拿真实工具输出去核对 AI 的说法再决定信不信,内置 21 个渗透技能,支持 13 家 LLM。
那个幻觉闸门是关键。LLM 做安全最大的毛病就是会一本正经地报一个根本不存在的漏洞;VulnClaw 逼着模型拿工具证据来证明。这跟 strix 靠真实输出来验证是同一套纪律。
往后退一步看就很清楚:攻击向安全正在全面自动化,而恰好这个时候,前沿大厂那些有网络攻击能力的模型正被政府一个个上锁。攻击这边可没等——直接开源扔在 GitHub 上了。链接:github.com/Unclecheng-li/VulnClaw
评论