首页 网络安全 渗透测试 查看内容

渗透测试从业者的新工具:938 Star、号称漏洞利用成功率90%(鸾鸟LuaN1ao)

2026-6-2 15:13 440 0

摘要: SHELL · 基础安装git clone https://github.com/SanMuzZzZz/LuaN1aoAgent.gitcd LuaN1aoAgentpip install -r requirements.txtcp .env.example .env# 编辑 .env 填写 LLM API Key知识...
关键词:Agent, SanMuzZzZz, GitHub, Python, 渗透测试, Shell, AI, HTTPS, 透测试里

导语: 你好,我是老宋。关注我,安全攻防干货准时送达!
一个能自己规划攻击路径、从失败里学习的AI渗透Agent,XBOW榜单成功率90.4%,单次漏洞利用成本不到一毛钱。

这个数字让人愣了一下——不是因为它高,而是因为它把传统渗透测试里最费时间的"试错"部分,直接用 AI 接过去了。

01

这个项目是什么

LuaN1ao(鸾鸟),938 Star、148 Fork,SanMuzZzZz 开源的一个全自主渗透测试 Agent

核心思路:把人类安全专家的思维过程拆成三个角色,各干各的,但共享同一套因果推理图。


它让 AI 先想清楚为什么要这样做,跑完再判断结果对不对,不对就换个思路继续——跟人做渗透的逻辑一样。

02

P-E-R 三角色协作框架

这个框架是它跟市面上其他 AI 渗透工具拉开差距的地方。

03

因果图推理——不是瞎猜

AI 做渗透测试最大的坑是什么?幻觉。LLM 会编造漏洞、假造利用路径、凭空生成不存在的配置。

04

怎么跑起来

安装不复杂,Python 3.10+,配好 LLM API Key 就能跑。推荐用 GPT-4o,Planner 需要强推理能力。

SHELL · 基础安装

git clone https://github.com/SanMuzZzZz/LuaN1aoAgent.gitcd LuaN1aoAgentpip install -r requirements.txtcp .env.example .env# 编辑 .env 填写 LLM API Key

知识库初始化——克隆 PayloadsAllTheThings 作为 RAG 检索源:

SHELL · 知识库初始化

mkdir -p knowledge_basegit clone https://github.com/swisskyrepo/PayloadsAllTheThings      knowledge_base/PayloadsAllTheThingscd rag && python -m rag_kdprepare

启动分两个终端:

SHELL · 启动 AGENT

# 终端1:Web 仪表盘(浏览器打开 http://localhost:8088)python -m web.server# 终端2:Agent 任务python agent.py     --goal "Perform comprehensive web security testing on http://testphp.vulnweb.com"     --task-name"demo_test"     --web

05

局限和真实场景

XBOW Benchmark 90.4% 的成绩很漂亮,但有几个实际约束要说清楚:

06

老宋


渗透测试的思维过程,第一次被这么系统地结构化、可复现了。Planner 定策略、Executor 跑命令、Reflector 审结果——三角色分工加上因果图的证据驱动逻辑,说穿了就是把一个高级渗透工程师的脑子外化成了系统

这件事往深了想,初级渗透测试里的重复性工作——端口扫描、版本识别、已知漏洞利用——基本可以被自动化接管,人力成本结构会变。但话说回来,部署门槛、LLM 调用成本、真实场景下的误报怎么处理,这些问题不解决,甲方安全团队离"开箱即用"还差着一段路。


建议:先关注,等技术栈成熟一两个版本再上手。

https://github.com/SanMuzZzZz/LuaN1aoAgent




往期精彩

杀毒软件可能有漏洞:360和金山毒霸内核驱动高危风险
2026年国内镜像源指南:35个常用源+全场景使用方法
影子资产、ICMP打点、无文件驻留——内网渗透的三个新趋势

🔐 我是网络安全老宋

专注把安全威胁翻译成听得懂的实操建议。每周推送漏洞预警、工具测评、攻防笔记。觉得有用,点个在看,转发给身边的朋友,就是对我最大的支持。

我们下期见 👋

本文出处: https://mp.weixin.qq.com/s/jRUJBHDfEGKCrx9kGp-j2w
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部