Vulnhuntr от Protect AI автономно нашёл stored XSS в ComfyUI (CVE-2024-10099, CVSS 6.1) и RCE в Ragflow (CVE-2024-10131, CVSS 8.8) - оба проекта с десятками тысяч звёзд на GitHub. Автор практического обзора на red.cyber-ed.ru потратил ~$200 на токены Claude, выловил Stored XSS в AI-продукте с 55k+ звёзд - и выкинул инструмент: два запуска на одном проекте дают разные результаты, большинство находок - мусор. Вот вам точный слепок состояния AI агентов для поиска уязвимостей: подтверждённые CVE есть, но до замены пентестера - годы. Ниже - разбор архитектур, верифицированные результаты, риски самих инструментов и практическая схема встраивания в пентест-workflow.
Три архитектуры AI-агентов для автоматизированного пентеста
По данным appsecsanta.com, к середине 2026 года на GitHub больше 39 open-source проектов, реализующих шесть архитектурных паттернов. Для реального пентеста критичны три. Подробнее - в нашем руководстве по безопасность llm атаки.
Одиночный агент с ReAct-циклом
Простейшая рабочая схема. Один LLM получает цель, генерирует действие, выполняет команду, читает результат - и крутится в цикле, пока не выполнит задачу или не упрётся в лимит контекстного окна. Примеры: PentestGPT, hackingBuddyGPT, AutoPentest, RapidPen.hackingBuddyGPT, по словам авторов, укладывается в ~50 строк Python: подключение по SSH, отправка команд, передача вывода обратно модели. Концептуально цикл выглядит так:
Python:
# Концептуальный ReAct-цикл (пример для демонстрации)
while not goal_reached and steps < max_steps:
observation = execute_tool(action) # nmap, curl, sqlmap...
reasoning = llm.think(observation, history)
action = reasoning.next_action
history.append((action, observation))
steps += 1
nmap -sV на крупной подсети генерирует тысячи строк, и предыдущие находки просто вытесняются из памяти. PentestEval (декабрь 2025, по данным appsecsanta.com) показал, что одноагентные фреймворки "практически полностью провалились" на end-to-end пайплайнах. Где работает: отдельная проверка конкретного CVE с advisory, быстрый PoC. Для полного пентеста - не годится.Планировщик-исполнитель (multi-agent)
Стратегический слой (планировщик) отделён от тактического (исполнители). Планировщик не трогает инструменты - решает, что делать, и передаёт подзадачу. Каждый исполнитель стартует с чистым контекстным окном.Три проекта задают планку:
- VulnBot - строит Penetration Task Graph (направленный граф зависимостей между задачами), выполняя независимые ветки параллельно.
- CHECKMATE - LLM генерирует PDDL-описание задачи, классический планировщик находит оптимальную последовательность, исполнители выполняют каждый шаг. По данным appsecsanta.com, этот гибрид обогнал нативного агента Claude Code более чем на 20% по success rate и оказался вдвое дешевле. Урок простой: не заставляй LLM планировать, если алгоритм из 1970-х справляется лучше.
- HPTSA - иерархические команды показали результат в 4.3 раза выше одноагентных фреймворков на бенчмарке из 14 реальных уязвимостей (42% pass@5, 18% pass@1).
Специализированный рой (swarm)
Каждому агенту - фиксированная роль: разведка, эксплуатация, отчётность. Агенты работают параллельно и обмениваются находками через центральное состояние. PentAGI (14,700+ звёзд на GitHub, по данным appsecsanta.com) оркестрирует четыре субагента внутри Docker-песочниц.Где работает: масштабное bug bounty, continuous ASM. Создаёт проблемы координации и стоит дороже остальных. Для внутреннего пентеста, где шум недопустим - мимо.
Trade-off таблица архитектур
| Архитектура | Преимущества | Ограничения | Когда использовать | Когда НЕ использовать |
|---|---|---|---|---|
| Single-agent (ReAct) | Простота, быстрый старт, легко отлаживать | Контекстное окно, "забывает", провал на e2e | PoC для конкретного CVE с advisory | Полный пентест, крупная кодовая база |
| Multi-agent (planner-executor) | 4.3x vs single, параллелизм, дешевле swarm | Сложность оркестрации, зависимость от качества планировщика | Сетевой пентест на 50+ хостов | Одиночный эндпоинт, quick check |
| Swarm | Максимальное покрытие, специализация ролей | Координация, высокая стоимость ($10-50 за запуск), шум | Bug bounty, ASM на масштабе | Тихий внутренний пентест, stealth-сценарии |
Что AI-агенты реально находят: верифицированные CVE и цифры
Vulnhuntr: LLM-assisted статический анализ
Vulnhuntr от Protect AI - гибрид статического анализатора и LLM. Инструмент разбивает Python-код на фрагменты, находит файлы с обработкой пользовательского ввода и прогоняет каждый потенциально опасный путь через Claude. Для каждой находки генерирует PoC и оценку уверенности (1-10, выше 7 - вероятная уязвимость).Подтверждённые находки с верификацией через NVD:
CVE-2024-10099 - stored XSS в comfyanonymous/comfyui v0.2.2. CVSS 6.1 (MEDIUM), вектор AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N. Атакующий загружает HTML-файл с XSS-payload через
/api/upload/image, выполнение при просмотре через /view. CWE-79. CISA SSVC: Track* (poc существует, не автоматизируется, partial impact). EPSS 0.0034 - вероятность эксплуатации в ближайшие 30 дней низкая.CVE-2024-10131 - RCE в infiniflow/ragflow v0.11.0. CVSS 8.8 (HIGH), вектор AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Функция
add_llm использует пользовательский ввод (req['llm_factory']) для динамической инстанциации классов без валидации. CWE-94 (Code Injection). CISA SSVC: Track* (poc, total impact). EPSS 0.0111 - выше медианы.По данным обзора на red.cyber-ed.ru, аналогичные находки были сделаны в gpt_academic, Langflow, FastChat - все проекты с десятками тысяч звёзд на GitHub. Автор обзора за ~$200 токенов выловил Stored XSS в проекте с 55k+ звёзд, но отказался от Vulnhuntr из-за недетерминированности и высокого процента мусора на выходе.
Ограничения (по данным red.cyber-ed.ru): только Python, строго Python 3.10 (баги Jedi), два запуска = два разных результата, большинство находок невалидны, ~$200 API-токенов за крупный проект.
A2: автономный аудит мобильных приложений
Исследователи из Нанкинского университета и Университета Сиднея представили A2 - agentic AI-систему для Android-приложений (по данным anti-malware.ru). Результаты: 78.3% покрытия на тестовом наборе Ghera против 30% у статического анализатора APKHunt. При проверке 169 реальных APK система нашла 104 уязвимости нулевого дня, 57 подтвердила автоматически через генерацию PoC.A2 построен на коммерческих LLM (по данным авторов - OpenAI o3 и Gemini 2.5), распределённых по ролям: планировщик, исполнитель, валидатор. Разбивка задачи на этапы с валидацией каждого шага снижает false positives - подход, близкий к multi-agent planner-executor.
Стоимость проверки одной уязвимости - от менее доллара до нескольких, при потенциальных вознаграждениях bug bounty в тысячи. Код доступен только исследователям с институциональной аффиляцией.
Разрыв между бенчмарком и реальностью
По данным appsecsanta.com, автономный агент XBOW занял первое место в глобальном рейтинге HackerOne с 1,060+ валидированными заявками - первый случай, когда AI-система обогнала живых исследователей на крупнейшей bug bounty платформе.Но те же данные вскрывают критический gap для LLM для пентеста:
- GPT-4 эксплуатирует 87% one-day CVE при наличии описания из advisory
- Но только 13% реальных CVE в CVE-Bench без подсказок
- И почти 0% сложных HackTheBox-задач
Место AI-агентов в цепочке атаки: маппинг на MITRE ATT&CK
AI агенты для поиска уязвимостей не висят в воздухе. MITRE ATT&CK уже формализовал их место в kill chain, включая относительно новые техники:
Reconnaissance:
- T1595.002 (Vulnerability Scanning) - автоматическое сканирование с AI-приоритизацией
- T1682 (Query Public AI Services) - использование публичных AI-сервисов для сбора информации о цели
- T1588.006 (Vulnerabilities) - поиск и сбор данных об уязвимостях через AI
- T1588.007 (Artificial Intelligence) - использование AI как ресурса для подготовки атаки
- T1587.004 (Exploits) - генерация эксплойтов с помощью LLM
- T1683 (Generate Content) - автоматическая генерация payload'ов
- T1190 (Exploit Public-Facing Application) - эксплуатация найденных уязвимостей
- T1059.006 (Python) - исполнение скриптов, сгенерированных агентом
Когда AI-агент сам становится вектором атаки
Пока пентестеры тестируют agentic security tools, атакующие тестируют сами инструменты. И находят дыры посерьёзнее, чем в целевых приложениях.Claude Code: два CVE с высоким EPSS
CVE-2025-59536 - code injection в Claude Code до версии 1.0.111. CVSS 8.7 (HIGH, CVSS:4.0). CWE-94. Инструмент можно было заставить выполнить код из проекта до подтверждения пользователем доверия в стартовом диалоге. Достаточно запустить Claude Code в недоверенной директории. EPSS 0.3023 - Top 5%, очень высокая вероятность эксплуатации. Патч: версия 1.0.111+.CVE-2026-21852 - утечка данных через project-load flow в Claude Code до версии 2.0.65. CVSS 5.3 (MEDIUM, CVSS:4.0). CWE-522 (Insufficiently Protected Credentials). Вредоносный репозиторий включает settings-файл с
ANTHROPIC_BASE_URL, указывающим на эндпоинт атакующего. При открытии Claude Code считывает конфигурацию и отправляет API-запросы до показа trust-промпта - утечка API-ключей. EPSS 0.2297 - Top 5%.Оба CVE показывают один паттерн: trust boundary нарушается до момента, когда пользователь принимает решение о доверии. Это атака на workflow пентестера, который клонирует незнакомый репозиторий и запускает AI-агент для анализа. Клонировал чужой репо, запустил агент - и ты уже скомпрометирован.
EchoLeak: prompt injection в M365 Copilot
CVE-2025-32711 - AI command injection в Microsoft 365 Copilot. CVSS 9.3 (CRITICAL). CWE-74. По данным cyberdesserts.com, это zero-click indirect prompt injection: специально сформированное письмо содержит скрытые инструкции, которые Copilot выполняет без действий пользователя, эксфильтрируя данные из OneDrive, SharePoint и Teams через доверенные домены Microsoft. EPSS 0.0578 - Top 10%.Атака иллюстрирует риск LLM06 из OWASP LLM Top 10 (Excessive Agency): модель с чрезмерными полномочиями делает то, на что не авторизована.
MCP и supply chain: масштаб проблемы
Model Context Protocol (MCP) - открытый стандарт Anthropic для подключения AI к внешним инструментам. По данным cyberdesserts.com, Trend Micro обнаружил 492 MCP-сервера в интернете без аутентификации. Antiy CERT подтвердил 1,184 вредоносных skills в маркетплейсе ClawHub.Исследователь Саймон Виллисон сформулировал "lethal trifecta": когда AI-агент одновременно имеет доступ к приватным данным, обрабатывает недоверенный контент и может общаться с внешними системами - он эксплуатируем by design. OWASP Top 10 for Agentic Applications 2026 классифицирует это как ASI01 (Agent Goal Hijack) и ASI04 (Agentic Supply Chain Vulnerabilities).
Ирония ситуации: AI-агент для автоматизации поиска уязвимостей сам содержит уязвимости классов LLM01 (Prompt Injection) и LLM06 (Excessive Agency). Каждый инструмент в пентест-среде расширяет attack surface - AI-агент не исключение, а скорее чемпион по этой части.
Практика: как встроить AI-агента в пентест без иллюзий
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Индустрия двигается в сторону автономных агентов: по данным appsecsanta.com, формируются новые категории - Adversarial Exposure Validation, Continuous Automated Red Teaming. Крупные вендоры (Anthropic, Google, OpenAI) вкладываются в закрытые системы, которые, по заявлениям авторов, показывают результаты уровня топ-исследователей. Но между маркетинговыми анонсами и воспроизводимыми бенчмарками - пропасть в 74 процентных пункта (87% с advisory vs 13% без).
За последний год я протестировал несколько AI-агентов на реальных проектах - от Vulnhuntr до самописных цепочек. Единственный сценарий со стабильной отдачей - массовый семантический grep по кодовой базе: модель находит паттерны, которые SAST пропускает из-за отсутствия правил. Всё остальное - лотерея с перевесом в сторону false positives. Запускаешь агент на проекте, получаешь 30 находок, 25 - мусор. Повторяешь - другие 30, пересечение с первым прогоном процентов 40.
Рынок заливают хайпом про "автономных AI-пентестеров", но никто не афиширует, что топовые результаты получены на закрытой инфраструктуре с неограниченным бюджетом вычислений, а открытые инструменты - прототипы, которые ломаются на нестандартном стеке. Моя позиция: автоматизированный пентест через AI-агентов сейчас - это сильный инструмент первичного скрининга. Но если пентест-отчёт строится на выводе LLM без ручной валидации каждой находки - это не пентест, это генерация макулатуры.
Мультиагентные архитектуры с поэтапной валидацией (CHECKMATE, A2) сокращают gap между лабораторией и реальностью. Через два-три года они дозреют до продакшена. Пока - используйте агентов как скринеры на этапе reconnaissance и resource development, а заключения делайте руками. Если хотите пощупать эту связку в контролируемой среде - на HackerLab (https://hackerlab.pro) есть лабы, где можно погонять AI-агентов по реальным уязвимым приложениям без риска отправить данные заказчика в API OpenAI.
Последнее редактирование модератором: