Статья AI агенты для поиска уязвимостей: архитектуры, реальные находки и ловушки для пентестера

Стеклянная колба, расколотая пополам, с медной нейросетью внутри — половина проводов аккуратна, половина искрит красным. На стекле выгравирована надпись с идентификатором уязвимости CVE.


Vulnhuntr от Protect AI автономно нашёл stored XSS в ComfyUI (CVE-2024-10099, CVSS 6.1) и RCE в Ragflow (CVE-2024-10131, CVSS 8.8) - оба проекта с десятками тысяч звёзд на GitHub. Автор практического обзора на red.cyber-ed.ru потратил ~$200 на токены Claude, выловил Stored XSS в AI-продукте с 55k+ звёзд - и выкинул инструмент: два запуска на одном проекте дают разные результаты, большинство находок - мусор. Вот вам точный слепок состояния AI агентов для поиска уязвимостей: подтверждённые CVE есть, но до замены пентестера - годы. Ниже - разбор архитектур, верифицированные результаты, риски самих инструментов и практическая схема встраивания в пентест-workflow.

Три архитектуры AI-агентов для автоматизированного пентеста​

1783962278750.webp

По данным appsecsanta.com, к середине 2026 года на GitHub больше 39 open-source проектов, реализующих шесть архитектурных паттернов. Для реального пентеста критичны три. Подробнее - в нашем руководстве по безопасность llm атаки.

Одиночный агент с ReAct-циклом​

Простейшая рабочая схема. Один LLM получает цель, генерирует действие, выполняет команду, читает результат - и крутится в цикле, пока не выполнит задачу или не упрётся в лимит контекстного окна. Примеры: PentestGPT, hackingBuddyGPT, AutoPentest, RapidPen.

hackingBuddyGPT, по словам авторов, укладывается в ~50 строк Python: подключение по SSH, отправка команд, передача вывода обратно модели. Концептуально цикл выглядит так:
Python:
# Концептуальный ReAct-цикл (пример для демонстрации)
while not goal_reached and steps < max_steps:
    observation = execute_tool(action)   # nmap, curl, sqlmap...
    reasoning = llm.think(observation, history)
    action = reasoning.next_action
    history.append((action, observation))
    steps += 1
Главная боль - контекстное окно. Один вывод nmap -sV на крупной подсети генерирует тысячи строк, и предыдущие находки просто вытесняются из памяти. PentestEval (декабрь 2025, по данным appsecsanta.com) показал, что одноагентные фреймворки "практически полностью провалились" на end-to-end пайплайнах. Где работает: отдельная проверка конкретного CVE с advisory, быстрый PoC. Для полного пентеста - не годится.

Планировщик-исполнитель (multi-agent)​

Стратегический слой (планировщик) отделён от тактического (исполнители). Планировщик не трогает инструменты - решает, что делать, и передаёт подзадачу. Каждый исполнитель стартует с чистым контекстным окном.

Три проекта задают планку:
  • VulnBot - строит Penetration Task Graph (направленный граф зависимостей между задачами), выполняя независимые ветки параллельно.
  • CHECKMATE - LLM генерирует PDDL-описание задачи, классический планировщик находит оптимальную последовательность, исполнители выполняют каждый шаг. По данным appsecsanta.com, этот гибрид обогнал нативного агента Claude Code более чем на 20% по success rate и оказался вдвое дешевле. Урок простой: не заставляй LLM планировать, если алгоритм из 1970-х справляется лучше.
  • HPTSA - иерархические команды показали результат в 4.3 раза выше одноагентных фреймворков на бенчмарке из 14 реальных уязвимостей (42% pass@5, 18% pass@1).
Где работает: сетевой пентест на десятках хостов, задачи с зависимостями между этапами. Для быстрой проверки одного эндпоинта - overhead оркестрации себя не оправдывает.

Специализированный рой (swarm)​

Каждому агенту - фиксированная роль: разведка, эксплуатация, отчётность. Агенты работают параллельно и обмениваются находками через центральное состояние. PentAGI (14,700+ звёзд на GitHub, по данным appsecsanta.com) оркестрирует четыре субагента внутри Docker-песочниц.

Где работает: масштабное bug bounty, continuous ASM. Создаёт проблемы координации и стоит дороже остальных. Для внутреннего пентеста, где шум недопустим - мимо.

Trade-off таблица архитектур​

АрхитектураПреимуществаОграниченияКогда использоватьКогда НЕ использовать
Single-agent (ReAct)Простота, быстрый старт, легко отлаживатьКонтекстное окно, "забывает", провал на e2ePoC для конкретного CVE с advisoryПолный пентест, крупная кодовая база
Multi-agent (planner-executor)4.3x vs single, параллелизм, дешевле swarmСложность оркестрации, зависимость от качества планировщикаСетевой пентест на 50+ хостовОдиночный эндпоинт, quick check
SwarmМаксимальное покрытие, специализация ролейКоординация, высокая стоимость ($10-50 за запуск), шумBug bounty, ASM на масштабеТихий внутренний пентест, stealth-сценарии

Что AI-агенты реально находят: верифицированные CVE и цифры​

Vulnhuntr: LLM-assisted статический анализ

Vulnhuntr от Protect AI - гибрид статического анализатора и LLM. Инструмент разбивает Python-код на фрагменты, находит файлы с обработкой пользовательского ввода и прогоняет каждый потенциально опасный путь через Claude. Для каждой находки генерирует PoC и оценку уверенности (1-10, выше 7 - вероятная уязвимость).

Подтверждённые находки с верификацией через NVD:

CVE-2024-10099 - stored XSS в comfyanonymous/comfyui v0.2.2. CVSS 6.1 (MEDIUM), вектор AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N. Атакующий загружает HTML-файл с XSS-payload через /api/upload/image, выполнение при просмотре через /view. CWE-79. CISA SSVC: Track* (poc существует, не автоматизируется, partial impact). EPSS 0.0034 - вероятность эксплуатации в ближайшие 30 дней низкая.

CVE-2024-10131 - RCE в infiniflow/ragflow v0.11.0. CVSS 8.8 (HIGH), вектор AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Функция add_llm использует пользовательский ввод (req['llm_factory']) для динамической инстанциации классов без валидации. CWE-94 (Code Injection). CISA SSVC: Track* (poc, total impact). EPSS 0.0111 - выше медианы.

По данным обзора на red.cyber-ed.ru, аналогичные находки были сделаны в gpt_academic, Langflow, FastChat - все проекты с десятками тысяч звёзд на GitHub. Автор обзора за ~$200 токенов выловил Stored XSS в проекте с 55k+ звёзд, но отказался от Vulnhuntr из-за недетерминированности и высокого процента мусора на выходе.

Ограничения (по данным red.cyber-ed.ru): только Python, строго Python 3.10 (баги Jedi), два запуска = два разных результата, большинство находок невалидны, ~$200 API-токенов за крупный проект.

A2: автономный аудит мобильных приложений​

Исследователи из Нанкинского университета и Университета Сиднея представили A2 - agentic AI-систему для Android-приложений (по данным anti-malware.ru). Результаты: 78.3% покрытия на тестовом наборе Ghera против 30% у статического анализатора APKHunt. При проверке 169 реальных APK система нашла 104 уязвимости нулевого дня, 57 подтвердила автоматически через генерацию PoC.

A2 построен на коммерческих LLM (по данным авторов - OpenAI o3 и Gemini 2.5), распределённых по ролям: планировщик, исполнитель, валидатор. Разбивка задачи на этапы с валидацией каждого шага снижает false positives - подход, близкий к multi-agent planner-executor.

Стоимость проверки одной уязвимости - от менее доллара до нескольких, при потенциальных вознаграждениях bug bounty в тысячи. Код доступен только исследователям с институциональной аффиляцией.

Разрыв между бенчмарком и реальностью​

По данным appsecsanta.com, автономный агент XBOW занял первое место в глобальном рейтинге HackerOne с 1,060+ валидированными заявками - первый случай, когда AI-система обогнала живых исследователей на крупнейшей bug bounty платформе.

Но те же данные вскрывают критический gap для LLM для пентеста:
  • GPT-4 эксплуатирует 87% one-day CVE при наличии описания из advisory
  • Но только 13% реальных CVE в CVE-Bench без подсказок
  • И почти 0% сложных HackTheBox-задач
Агент, который эксплуатирует известную CVE с advisory, и агент, который ищет 0-day в live-инфраструктуре - две принципиально разные задачи. XBOW работает на закрытой инфраструктуре с неограниченным бюджетом вычислений; открытые инструменты от этого уровня далеки.

Место AI-агентов в цепочке атаки: маппинг на MITRE ATT&CK​

1783962411895.webp

AI агенты для поиска уязвимостей не висят в воздухе. MITRE ATT&CK уже формализовал их место в kill chain, включая относительно новые техники:

Reconnaissance:
Resource Development:
Initial Access:
Execution:
  • T1059.006 (Python) - исполнение скриптов, сгенерированных агентом
На практике AI-агент закрывает этапы reconnaissance и resource development. Дальше пентестер переключается на ручную работу или классику (Metasploit, sqlmap). Полностью автономная цепочка от recon до exfiltration - уровень закрытых коммерческих систем, не open-source.

Когда AI-агент сам становится вектором атаки​

Пока пентестеры тестируют agentic security tools, атакующие тестируют сами инструменты. И находят дыры посерьёзнее, чем в целевых приложениях.

Claude Code: два CVE с высоким EPSS​

CVE-2025-59536 - code injection в Claude Code до версии 1.0.111. CVSS 8.7 (HIGH, CVSS:4.0). CWE-94. Инструмент можно было заставить выполнить код из проекта до подтверждения пользователем доверия в стартовом диалоге. Достаточно запустить Claude Code в недоверенной директории. EPSS 0.3023 - Top 5%, очень высокая вероятность эксплуатации. Патч: версия 1.0.111+.

CVE-2026-21852 - утечка данных через project-load flow в Claude Code до версии 2.0.65. CVSS 5.3 (MEDIUM, CVSS:4.0). CWE-522 (Insufficiently Protected Credentials). Вредоносный репозиторий включает settings-файл с ANTHROPIC_BASE_URL, указывающим на эндпоинт атакующего. При открытии Claude Code считывает конфигурацию и отправляет API-запросы до показа trust-промпта - утечка API-ключей. EPSS 0.2297 - Top 5%.

Оба CVE показывают один паттерн: trust boundary нарушается до момента, когда пользователь принимает решение о доверии. Это атака на workflow пентестера, который клонирует незнакомый репозиторий и запускает AI-агент для анализа. Клонировал чужой репо, запустил агент - и ты уже скомпрометирован.

EchoLeak: prompt injection в M365 Copilot​

CVE-2025-32711 - AI command injection в Microsoft 365 Copilot. CVSS 9.3 (CRITICAL). CWE-74. По данным cyberdesserts.com, это zero-click indirect prompt injection: специально сформированное письмо содержит скрытые инструкции, которые Copilot выполняет без действий пользователя, эксфильтрируя данные из OneDrive, SharePoint и Teams через доверенные домены Microsoft. EPSS 0.0578 - Top 10%.

Атака иллюстрирует риск LLM06 из OWASP LLM Top 10 (Excessive Agency): модель с чрезмерными полномочиями делает то, на что не авторизована.

MCP и supply chain: масштаб проблемы

Model Context Protocol (MCP) - открытый стандарт Anthropic для подключения AI к внешним инструментам. По данным cyberdesserts.com, Trend Micro обнаружил 492 MCP-сервера в интернете без аутентификации. Antiy CERT подтвердил 1,184 вредоносных skills в маркетплейсе ClawHub.

Исследователь Саймон Виллисон сформулировал "lethal trifecta": когда AI-агент одновременно имеет доступ к приватным данным, обрабатывает недоверенный контент и может общаться с внешними системами - он эксплуатируем by design. OWASP Top 10 for Agentic Applications 2026 классифицирует это как ASI01 (Agent Goal Hijack) и ASI04 (Agentic Supply Chain Vulnerabilities).

Ирония ситуации: AI-агент для автоматизации поиска уязвимостей сам содержит уязвимости классов LLM01 (Prompt Injection) и LLM06 (Excessive Agency). Каждый инструмент в пентест-среде расширяет attack surface - AI-агент не исключение, а скорее чемпион по этой части.

Практика: как встроить AI-агента в пентест без иллюзий​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Индустрия двигается в сторону автономных агентов: по данным appsecsanta.com, формируются новые категории - Adversarial Exposure Validation, Continuous Automated Red Teaming. Крупные вендоры (Anthropic, Google, OpenAI) вкладываются в закрытые системы, которые, по заявлениям авторов, показывают результаты уровня топ-исследователей. Но между маркетинговыми анонсами и воспроизводимыми бенчмарками - пропасть в 74 процентных пункта (87% с advisory vs 13% без).

За последний год я протестировал несколько AI-агентов на реальных проектах - от Vulnhuntr до самописных цепочек. Единственный сценарий со стабильной отдачей - массовый семантический grep по кодовой базе: модель находит паттерны, которые SAST пропускает из-за отсутствия правил. Всё остальное - лотерея с перевесом в сторону false positives. Запускаешь агент на проекте, получаешь 30 находок, 25 - мусор. Повторяешь - другие 30, пересечение с первым прогоном процентов 40.

Рынок заливают хайпом про "автономных AI-пентестеров", но никто не афиширует, что топовые результаты получены на закрытой инфраструктуре с неограниченным бюджетом вычислений, а открытые инструменты - прототипы, которые ломаются на нестандартном стеке. Моя позиция: автоматизированный пентест через AI-агентов сейчас - это сильный инструмент первичного скрининга. Но если пентест-отчёт строится на выводе LLM без ручной валидации каждой находки - это не пентест, это генерация макулатуры.

Мультиагентные архитектуры с поэтапной валидацией (CHECKMATE, A2) сокращают gap между лабораторией и реальностью. Через два-три года они дозреют до продакшена. Пока - используйте агентов как скринеры на этапе reconnaissance и resource development, а заключения делайте руками. Если хотите пощупать эту связку в контролируемой среде - на HackerLab (https://hackerlab.pro) есть лабы, где можно погонять AI-агентов по реальным уязвимым приложениям без риска отправить данные заказчика в API OpenAI.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab