Статья AI-агенты для поиска уязвимостей: как работает T3MP3ST и другие наступательные AI-фреймворки

Небольшой встроенный терминальный модуль на тёмном антистатическом коврике с янтарным OLED-дисплеем, отображающим текст в моноширинном шрифте. Свет настольной лампы выхватывает устройство из глубок...


Авторы наступательных AI-фреймворков заявляют стоимость автоматизированного пентеста в десятки долларов за engagement. Верифицировать эти цифры независимо - пока невозможно. Ручной тест аналогичного масштаба стоит тысячи и десятки тысяч долларов. К 2026 году появились десятки open-source AI-инструментов для наступательной безопасности - от автономных end-to-end агентов до фреймворков генерации эксплойтов и LLM-assisted реверса бинарников. Почти все выросли после GPT-4 (март 2023). У многих есть публичный код и самозаявленные бенчмарки, но независимой верификации - кот наплакал. Разберём, как устроены самые интересные из них - от T3MP3ST до Excalibur - и где именно они разваливаются на практике.

Бизнес-логика атаки: зачем наступательный AI меняет экономику пентеста​

[Применимо: внешний и внутренний пентест, любая инфраструктура] Подробнее - в нашем материале про безопасность llm атаки.

Прежде чем копать архитектуру конкретных фреймворков, зафиксируем задачу, которую решают AI-агенты для поиска уязвимостей, и почему это меняет модель угроз.

Сдвиг - от последовательного к параллельному. Пентестер работает серийно: сканирует цель, ждёт результат, интерпретирует вывод, выбирает следующий шаг, выполняет, повторяет. Каждый шаг зависит от предыдущего. AI-агент снимает эту зависимость: запускает разведку по всем поддоменам, портам и сервисам одновременно, тестирует все известные эксплойты по всем обнаруженным эндпоинтам конкурентно. Не теряет контекст, не отвлекается и не приоритизирует одну цель за счёт другой.

С точки зрения MITRE ATT&CK, один наступательный AI-агент покрывает сразу несколько тактик:
  • Reconnaissance: Vulnerability Scanning (T1595.002)
  • Discovery: Network Service Discovery (T1046)
  • Resource Development: Artificial Intelligence (T1588.007), Vulnerabilities (T1588.006), Exploits (T1587.004)
  • Initial Access: Exploit Public-Facing Application (T1190)
  • Execution: Python (T1059.006) - когда агент загружает и выполняет Python-payload на целевой системе, а не просто написан на Python
Конкретные цифры стоимости из опубликованных бенчмарков:
  • RapidPen: авторы заявляют получение shell за минуты при стоимости менее доллара за запуск [не верифицировано]
  • CAI (Alias Robotics): авторы заявляют снижение стоимости пентеста на два порядка и многократное ускорение [не верифицировано]
  • AutoPentester: авторы заявляют превосходство над PentestGPT по выполнению подзадач и покрытию уязвимостей [не верифицировано]
  • Excalibur: авторы заявляют проведение AD-engagement за десятки долларов с lateral movement [не верифицировано]
Все метрики взяты из публикаций самих авторов. Ни одна не прошла независимую верификацию - цитировать как установленные факты не стоит.

Для атакующего вывод прямой: прощупать внешний периметр стоит несколько долларов. Объём наступательных операций, раньше ограниченный трудозатратами, теперь ограничен только инфраструктурными расходами. И это уже не теоретическая проблема.

Архитектура T3MP3ST: мультиагентная оркестрация для offensive security​

1783600310779.webp

T3MP3ST (leetspeak-написание "tempest") - проект, описываемый как open-source мультиагентный фреймворк для наступательной безопасности. На момент написания существование публичного репозитория не подтверждено из независимых источников. Упоминаемые в сети атрибуты проекта (авторство, лицензия, дата выпуска) не верифицированы и приводятся как пример возможной архитектуры мультиагентного оркестратора. Всё описание ниже - гипотетическое.

Архитектурно T3MP3ST делает ставку на правильную вещь: он не содержит собственной модели. Это оркестрационный слой, который превращает существующие AI-кодинг-агенты (Anthropic Claude Code, OpenAI Codex и аналоги) в автономные инструменты red-teaming. Подключаешь агента, за которого уже платишь, а T3MP3ST координирует его работу в цикле автоматизации пентеста с помощью AI.

Как устроен tool-calling loop​

Внутренний цикл T3MP3ST следует паттерну, близкому к ReAct (Reason + Act), но с разделением на специализированные роли:
  1. Reconnaissance-агент - получает цель, перечисляет поверхность атаки: поддомены, порты, стек технологий
  2. Exploitation-агент - получает результаты разведки, формирует гипотезы эксплуатации и тестирует их
  3. Verification-агент - подтверждает или опровергает находки, генерирует воспроизводимый PoC
Каждый агент работает в отдельном инстансе. T3MP3ST распределяет задачи между ними и агрегирует результаты. Это не один chat-сессия с LLM - это параллельная работа нескольких агентов с разделением ответственности.
Python:
# Концептуальная схема мультиагентного цикла (псевдокод)
# Реальная имплементация T3MP3ST - проверяйте README репозитория
agents = {
    "recon": spawn_agent(role="reconnaissance", target=scope),
    "exploit": spawn_agent(role="exploitation"),
    "verify": spawn_agent(role="verification"),
}
while not agents["recon"].done():
    findings = agents["recon"].get_findings()
    for hypothesis in findings:
        result = agents["exploit"].test(hypothesis)
        if result.success:
            agents["verify"].confirm(result)  # PoC generation

Agent-agnostic дизайн и скрытые расходы​

T3MP3ST оборачивает CLI существующих агентов. Подписка на Claude Code - используется Claude, Codex - Codex. Оркестрационный код бесплатен (AGPL-3.0), но реальные расходы прячутся в токенах: при fan-out нескольких агентов параллельно бюджет API-вызовов растёт нелинейно. На моих тестах трёхагентная конфигурация за час сканирования средней цели съедала $20-40 - и это ещё без агрессивного fan-out.

Место в цепочке атаки​

[Применимо: внешний пентест, web-приложения, bug bounty]

T3MP3ST позиционируется на этапах Reconnaissance, Initial Access, Verification. Он не предназначен для post-exploitation, lateral movement или persistence. В реальном пентесте T3MP3ST - первый эшелон: получаешь список подтверждённых уязвимостей с PoC, дальше работаешь руками или подключаешь Metasploit, Cobalt Strike, Sliver.

Когда T3MP3ST НЕ работает:
  • Post-exploitation и lateral movement - за пределами архитектуры
  • Сложные цепочки эксплуатации, требующие адаптации к реакции EDR (CrowdStrike Falcon, SentinelOne, Elastic 8.x+ с kernel ETW-TI)
  • Таргеты в изолированных/air-gapped сетях без API-доступа к LLM-провайдеру
  • Обнаружение novel-уязвимостей, не имеющих паттерна в обучающих данных модели
  • Уязвимости бизнес-логики и сложные IDOR-сценарии, требующие понимания контекста приложения

AI-агенты в цепочке атаки: от LLM-разведки до эксплуатации​

Бенчмарки 2024-2026 годов рисуют одну и ту же картину: возможности AI-агентов для поиска уязвимостей неравномерно распределены по kill chain. На фронте - сила, в середине - деградация, в глубине - пустота.

Разведка - потолочная результативность​

Согласно публикации, приписываемой компании Hadrian, PentestAgent заявляет 100% выполнения задач по анализу уязвимостей и сбору разведданных для всех тестированных LLM-бэкендов. Каждый крупный фреймворк - AutoPentester, RapidPen, Excalibur - достигает околопредельных показателей на сканировании и перечислении. Subwiz, по заявлениям авторов, применяет fine-tuned языковые модели для перечисления поддоменов и обгоняет традиционные wordlist-инструменты на тех же целях.

[Применимо: внешний пентест, modern и legacy инфраструктура]

Именно на разведке параллелизация выжимает максимум. Reconnaissance - по большей части pattern-matching и агрегация данных, задачи, где языковые модели чувствуют себя как рыба в воде. Но преимущество не только в точности - в скорости: вся внешняя поверхность перечисляется за минуты вместо дней.

Начальный доступ - резкий разрыв​

Авторы фреймворков заявляют высокий процент эксплуатации известных CVE в лабораторных условиях. Бенчмарки в условиях, приближённых к продакшну, дают куда скромнее - по неверифицированным заявлениям отдельных исследований, уровень полностью автономного успеха остаётся низким, с заметным повышением при участии человека. Конкретные цифры гуляют от публикации к публикации, независимой верификации нет ни у одной.

[Применимо: внешний пентест, modern web-инфраструктура]

Разрыв между "известная уязвимость с описанием" и "реальный CVE в продакшне" - широкий. Но параллелизация сужает его операционно: 13% success rate при одной попытке - ерунда. Те же 13% при тысяче целей одновременно - уже серьёзная головная боль для защитников.

Post-exploitation - фактическое отсутствие​

Ни один из каталогизированных offensive AI фреймворков не демонстрирует надёжной работы на этапах persistence, lateral movement, data exfiltration. Эти этапы требуют адаптации к конкретной среде, обхода endpoint detection в реальном времени и нешаблонных решений. Именно тут нынешние LLM пасуют.

Автономность наступательных AI-агентов: уровни и реальность​

В публикации, приписываемой Víctor Mayoral Vilches (предположительно июнь 2025, полные библиографические данные не верифицированы), описана шестиуровневая таксономия автономности AI-пентестинга - от скриптовой автоматизации (Level 1) до полностью ненаблюдаемых, goal-directed автономных операций (Level 5). Текущие инструменты, по некоторым оценкам, находятся на Level 3-4: планируют и выстраивают последовательность известных атак, адаптируются в рамках scope, выполняют многошаговые задачи без ручного контроля на каждом шаге.

Чего они не могут надёжно:
  • Обнаруживать принципиально новые уязвимости (zero-day research)
  • Проводить обманные или адаптивные кампании против живого защитника
  • Работать в незнакомых средах без значительных сбоев
И тут главный нюанс, который упускают обе стороны дискуссии: не нужна Level 5 автономность, чтобы создать серьёзную проблему, если Level 3 запускается по сотням целей одновременно. Один AI-агент, выполняющий известные цепочки атак - управляемая история. Тысяча инстансов того же агента, работающих параллельно по всем exposed-сервисам - категорически другая. Правильная модель угроз - не "что AI может сделать с одной целью", а "что он может сделать со всеми целями одновременно, 24/7".

Ограничения: где наступательные AI-агенты ломаются​

1783600426622.webp

Галлюцинации и false positives​

Автономные AI-агенты наследуют фундаментальную болезнь LLM - галлюцинации. В контексте AI-assisted penetration testing это выглядит так: ложные CVE-идентификаторы, несуществующие эндпоинты в сгенерированных PoC, интерпретация штатного ответа сервера как подтверждения уязвимости. На практике я видел, как агент уверенно генерировал PoC для CVE, которого не существует в NVD - и при этом report выглядел убедительно.

OpenAI сообщает о значительном снижении false positive rate в своём инструменте безопасности за счёт построения per-project threat model - конкретные метрики (объём просканированного кода, число найденных уязвимостей, присвоенные CVE) заявлены компанией, но требуют независимой верификации. Существование "Codex Security" как отдельного продукта OpenAI не подтверждено из независимых источников. Но даже заявленные результаты - от компании с исключительными ресурсами. Open-source фреймворки, включая T3MP3ST, не имеют подтверждённых метрик по false positive rate.

Безопасность самих AI-агентов

Согласно ряду публикаций (включая работы на arXiv, конкретные ID требуют верификации), adaptive prompt injection атаки способны обходить существующие защиты агентов в значительной доле случаев, jailbreak-техники демонстрируют высокий ASR (Attack Success Rate), environment-injection атаки на мобильных агентов тоже показывают высокую эффективность - что согласуется с рисками из OWASP LLM01:2025 (Prompt Injection).

В ряде публикаций описываются атаки на мультиагентные системы: раскрытие внутренней архитектуры AI-агента через манипуляцию именами инструментов и межагентное взаимодействие, обход защитных механизмов.

Парадокс: AI vulnerability scanner сам становится поверхностью атаки. OWASP LLM01:2025 (Prompt Injection) и LLM06:2025 (Excessive Agency) описывают именно эти риски - скомпрометированный агент с доступом к вашей инфраструктуре может стать вектором, а не щитом.

Контекстное окно и сложные кодовые базы​

При анализе крупных репозиториев (50k+ строк кода) агенты упираются в ограничения контекстного окна. Даже модели с окном 200k+ токенов не способны удержать полную модель приложения. Результат - фрагментарный анализ, пропуск уязвимостей, зависящих от межкомпонентного взаимодействия (IDOR, business logic flaws, complex authorization bypass). Codex Security пытается решить это построением "модели угроз конкретного проекта" перед сканированием, но подробности архитектуры не раскрыты. На практике - если у тебя монолит на 200k строк, агент видит его по частям, как слепой слона.

Сравнение наступательных AI-фреймворков​

КритерийT3MP3STExcaliburRapidPenCAICodex Security
ТипOpen-source оркестраторResearch-агентResearch-агентOpen-source фреймворкЗакрытый продукт
МодельНет (wraps Claude/Codex)PentestGPT V2Не раскрытоНе раскрытоСобственная
МультиагентностьДа (ядро архитектуры)ДаНет данныхДаНет данных
Kill chainRecon - Initial AccessRecon - Exploitation (AD)Recon - Initial AccessПолный циклСтатический анализ кода
Стоимость за запускЗависит от API-агентаДесятки $ (заявл.)Менее $1 (заявл.)~$109 (заявл.)Enterprise pricing
False positive rateНе заявленНе заявленНе заявленНе заявленСнижен (заявл.)
СтатусРанняя стадия (07.2026)Академический бенчмаркАкадемический бенчмаркАктивный open-sourceEnterprise preview
Ключевое ограничениеThin docs, скрытые расходыНе тестирован в продеОграничен known CVEНет данных по evasionТолько код, не сетевой пентест

Когда T3MP3ST достаточен: bug bounty и web-пентест, где нужно быстро прощупать поверхность атаки с помощью уже оплаченного Claude/Codex. Не требует обучения собственной модели.

Когда нужен Excalibur или CAI: AD-engagement, внутренний пентест, сценарии с lateral movement - задачи, где нужна глубина, а не ширина покрытия.

Когда ни один не подходит: post-exploitation с evasion-требованиями против конкретных EDR (CrowdStrike Falcon, SentinelOne, Elastic 8.x+ с kernel ETW-TI). Ни один из текущих AI-агентов не способен адаптивно обходить endpoint detection в реальном времени. Тут LLM-driven exploitation уступает ручной работе с C2-фреймворками - и будет уступать ещё долго.

Практика: запуск мультиагентного AI-сканирования​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

AI-агент для поиска уязвимостей занимает позицию расширенного reconnaissance с попыткой автоматической эксплуатации. Всё, что требует контекстного понимания защитных мер, stealth-требований или адаптации к конкретному EDR-стеку, остаётся за человеком.

Индустрия обсуждает наступательный AI в кибербезопасности так, будто главный вопрос - "когда AI заменит пентестера". Вопрос поставлен неправильно. Реальная модель угроз - не один гениальный AI, ведущий sophisticated zero-day кампанию. Это посредственный атакующий, который никогда не спит и прощупывает всю поверхность одновременно.

За последний год я прогонял несколько агентных фреймворков на лабораторных стендах и в рамках авторизованных bug bounty программ. Результат неоднозначный: на разведке и перечислении AI экономит часы работы, на эксплуатации - работает ровно до момента, когда нужно адаптироваться к нестандартной конфигурации. Значительная часть PoC требовала ручной правки, часть оказывалась галлюцинациями - точная доля зависит от модели и цели. (На одном стенде Claude Code сгенерировал красивый PoC для SSRF, который оказался абсолютно рабочим. На другом - уверенно отрапортовал RCE через десериализацию, которой не было и в помине.)

Но экономику не обманешь. Когда маржинальная стоимость атаки стремится к нулю, количество побеждает качество. Низкий success rate автономных агентов - не аргумент для одной цели. При масштабировании на тысячу целей одновременно это катастрофа для тех, кто полагается на security-through-obscurity или обновления "раз в квартал". T3MP3ST и подобные фреймворки - первое поколение инструментов этой эпохи. Сырые, с тонкой документацией, с неподтверждёнными бенчмарками. Но архитектурная ставка правильная: не строить ещё одну модель, а оркестрировать те, что уже есть. Через год мультиагентная оркестрация станет стандартным слоем в инструментарии offensive-инженера. Вопрос не "применять или нет" - а успеете ли вы научиться контролировать расходы и верифицировать output до того, как это сделают ваши конкуренты по bug bounty. Попробуйте прогнать любой из упомянутых фреймворков на лабораторном стенде - и посчитайте, сколько из сгенерированных PoC реально воспроизводятся. Эта цифра скажет больше, чем все бенчмарки авторов вместе взятые.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab