Полноценный пентест Active Directory - пять хостов, четыре скомпрометированы, lateral movement пройден - за $28.50 в API-вызовах к LLM. Ручной пентест аналогичного скоупа обходится заказчику в $15000-$50000. Ежегодный пентест раз в год против такого темпа - статистическая формальность. Ниже разберу, где AI пентест уже работает на реальных целях, где проваливается и какой workflow можно запустить сегодня.
Экосистема автономного пентеста: пять категорий AI-инструментов
Термин "AI пентест" в 2026 году покрывает принципиально разные классы решений. Путать их - всё равно что сравниватьsqlmap с Metasploit. По анализу Penligent, рынок делится на пять функциональных категорий. Подробнее - в нашем обзоре безопасность llm атаки.AI-driven web и API-пентест. Инструменты, заменяющие или сжимающие ручной цикл тестирования веб-приложений: аутентификация, бизнес-логика, цепочки эксплойтов. XBOW - полностью автономный, доказанный на реальных bug bounty программах HackerOne. [Применимо: внешний пентест, modern-инфраструктура с REST/GraphQL API.]
Autonomous enterprise validation. Pentera и NodeZero (Horizon3.ai): непрерывная валидация сети, Active Directory, облачных сред с доказательством атакующих путей. Не bug bounty, а continuous security posture. [Применимо: внутренний пентест, корпоративная инфраструктура.]
External attack surface discovery. Hadrian: агентный мониторинг внешнего периметра, обнаружение экспозиций в реальном времени с event-driven тестированием при каждом изменении. [Применимо: внешний пентест, continuous monitoring.]
Red teaming AI-приложений. Promptfoo и garak (NVIDIA, Apache 2.0): тестирование LLM-агентов, RAG-систем, prompt injection. Если организация деплоит AI-агентов - это ваш инструмент, а не классический пентестер.
Интегрированные агентные workflow. Pentest-AI (ptai, open-source) и PentestGPT (MIT license, опубликован на USENIX Security 2024): фреймворки, где LLM оркестрирует традиционные инструменты (
nmap, sqlmap, ffuf, hydra, BloodHound, Impacket) через Model Context Protocol (MCP). Ключевой архитектурный принцип Pentest-AI: "The LLM coordinates. The probes detect." Модель не ищет уязвимости напрямую - она планирует workflow и интерпретирует результаты детерминированных проверок.В терминологии MITRE ATT&CK использование AI в наступательных операциях классифицируется как Artificial Intelligence (T1588.007, Resource Development). Сбор данных об уязвимостях через AI - Vulnerabilities (T1588.006, Resource Development).
Почему в обзор не вошли: Shannon AI (нет публичных бенчмарков), Synack (сервис с человеческими исследователями, не софт), Snyk (SAST/SCA, не offensive testing).
AI-агенты на каждом этапе kill chain
Бизнес-логика угрозы: атакующий с AI-инструментом может параллельно сканировать весь внешний периметр организации за стоимость обеда. Маргинальная стоимость прогона known-exploit chain против known-target стремится к нулю. Для защитников это значит одно: каждое exposed-приложение прощупывается непрерывно, а не раз в квартал. Ценность AI пентеста для red team раскрывается через конкретную производительность на каждом этапе kill chain.
AI-assisted recon: потолок производительности
Разведка - фаза, где автономные сканеры дают результат, недостижимый вручную. По данным Hadrian, PentestAgent достигает 100% завершения задач по анализу уязвимостей и сбору intelligence на всех протестированных LLM-бэкендах. AutoPentester, RapidPen, Excalibur - каждый крупный фреймворк выходит на near-ceiling performance при сканировании и перечислении сервисов.В терминах MITRE ATT&CK это покрытие:
- Vulnerability Scanning (T1595.002, Reconnaissance) - автоматическое обнаружение уязвимых точек
- Network Service Discovery (T1046, Discovery) - перечисление портов и сервисов
- System Information Discovery (T1082, Discovery) - идентификация ОС, версий, стека
nmap, masscan и ffuf через оркестратор Pentest-AI фаза разведки сжимается с дней до минут.CAI от Alias Robotics заявляет 3600-кратное ускорение: разведка целого периметра за минуты вместо недель, со 156-кратным снижением стоимости (self-reported, arXiv 2025, требует независимой верификации).
[Применимо: внешний и внутренний пентест, modern и legacy. Ограничение: AI-recon в air-gapped сетях без доступа к облачным LLM требует локальной модели через Ollama (llama3.1:70b, 48+ ГБ RAM) со значительной потерей качества.]
LLM exploit generation: разрыв между лабой и продом
Переход от разведки к эксплуатации - точка, где маркетинг расходится с практикой. По данным Hadrian, GPT-4 достигает 87% успешной эксплуатации известных уязвимостей с CVE-описаниями в контролируемых условиях. А потом приходит продакшн.CVE-Bench (2025, по данным Hadrian) обнаружил: state-of-the-art агенты эксплуатируют лишь 13% критических CVE в реальных веб-приложениях в продуктивных средах. Разрыв между 87% и 13% - это WAF, rate limiting, нестандартные конфигурации, кастомные middleware.
AI справляется, когда есть задокументированный вектор. При кастомной бизнес-логике - проваливается.
Позитивные сигналы есть. По данным блога Google (ноябрь 2024), AI-агент Big Sleep (совместный проект Project Zero и DeepMind) обнаружил ранее неизвестную уязвимость - out-of-bounds read (CWE-125) - в development-ветке SQLite, исправленную до публичного релиза. Это подтверждает способность AI находить zero-day, но в узких условиях: открытый исходный код, неограниченное время анализа, отсутствие защитных механизмов.
XBOW - наиболее убедительное доказательство. По данным XBOW (июнь 2025), это первый полностью автономный пентестер, занявший первое место в лидерборде HackerOne US с около 1,060 отправленными отчётами (по данным блога xbow.com; количество уникальных valid vulnerabilities не раскрывается публично) - все сгенерированы без человеческого участия. Цели сами подтверждали баги, что снимает проблему self-graded benchmarks.
[Применимо: внешний пентест, known-CVE exploitation - A01 Broken Access Control, A03 Injection, A05 Security Misconfiguration, A06 Vulnerable and Outdated Components (по OWASP 2021). Не работает: кастомная бизнес-логика (платёжные системы, биржевые движки), multi-step auth flows, цели за enterprise WAF (Cloudflare Enterprise, AWS WAF с кастомными правилами).]
Post-exploitation: слепая зона автономных сканеров
Lateral movement, privilege escalation внутри скомпрометированной сети, обход EDR - этап, где AI-агенты фактически бессильны. По классификации Víctor Mayoral Vilches (июнь 2025, описана Hadrian), текущие инструменты находятся на уровне автономии 3-4 из 6: способны планировать и выполнять известные техники, адаптироваться в рамках определённого скоупа, но не могут проводить адаптивные кампании против живого защитника.В терминах MITRE ATT&CK это Exploitation of Remote Services (T1210, Lateral Movement). Excalibur скомпрометировал 4 из 5 хостов в AD-лабе за $28.50 (arXiv preprint, 2025) - но лабораторная среда не содержала ни одного EDR. На практике ситуация другая:
- CrowdStrike Falcon (user-mode hooks + kernel-level telemetry) блокирует типичные AI-генерируемые payload на этапе загрузки
- Elastic EDR 8.11+ (kernel ETW-TI) детектирует automated lateral movement по поведенческим паттернам
- SentinelOne (behavioral AI) распознаёт scripted exploitation chains
Тот же systematic literature review, охвативший 58 рецензированных работ по AI в пентесте, обнаружил ровно одно развёртывание в продуктивной среде: PenBox от ESA для ground systems космических миссий. Статья Excalibur прямо формулирует: "fully autonomous penetration testing remains distant""Полностью автономное тестирование на проникновение пока ещё далеко".
[Применимо: внутренний пентест, post-exploitation. Текущий статус: AI-агенты непригодны при наличии EDR. Ручные инструменты: Impacket для AD-атак, BloodHound для графовой разведки, manual pivoting через SSH/RDP.]
Бенчмарки и экономика: XBOW, PentestGPT, Excalibur
Для выбора инструмента под конкретный сценарий - trade-off таблица. Данные из опубликованных бенчмарков и вендорных страниц (верифицировано MojoAuth, июнь 2026).
| Инструмент | Автономия | Стоимость | Ключевое ограничение | Когда использовать | Когда НЕ использовать |
|---|---|---|---|---|---|
| XBOW | Полная | Custom, через sales | Непрозрачная цена; мало track record на legacy | Continuous external bug bounty в масштабе | Внутренний пентест; ограниченный бюджет |
| PentestGPT | Авто + HitL | Бесплатно (MIT), ~$1/задача API | Без контроля = инцидент; BYO API keys | Лабы, staging, CTF-тренировки | Production без human-in-the-loop |
| Pentest-AI (ptai) | Оркестрация | Бесплатно (open-source) | Качество зависит от промптов и модели | MCP-интеграция; CI/CD pipelines | Air-gapped среды без облачных LLM |
| Burp Suite + Burp AI | Human + AI assist | $499/год, 10K AI credits | Не автономный; desktop tool | Ручной web-пентест с AI-ускорением | Когда нужна continuous coverage |
| Pentera | Автономная | Custom, enterprise | Enterprise only; не для bug bounty | Continuous validation корпоративной сети | Внешний web-пентест; стартапы |
Ключевые цифры:
- XBOW: около 1,060 отправленных отчётов на HackerOne (по данным блога xbow.com, июнь 2025); количество уникальных valid vulnerabilities не раскрывается публично
- PentestGPT: 86.5% успеха (90 из 104 задач), $1.11 средняя стоимость, 6.1 минуты на задачу (README проекта; эти цифры не из оригинальной статьи USENIX Security 2024, первичный источник бенчмарка не установлен - используйте с осторожностью)
- Excalibur: 4 из 5 хостов AD за $28.50 (arXiv preprint, 2025; цитируется Hadrian)
- CAI: заявленные авторами 156x снижение стоимости - $109 против $17,218 (self-reported, arXiv 2025, требует независимой верификации)
- AutoPentester: превосходит PentestGPT на 27 п.п. по завершению подзадач с 39.5% большим покрытием уязвимостей (по данным Hadrian)
Практический workflow: запуск AI-пентеста на лабораторной цели
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Агент выполнит цепочку: сканирование сервисов (T1046) -> идентификация стека (T1082) -> fuzzing параметров -> эксплуатация (T1190). Под капотом - Python-скрипты (T1059.006, Execution), координирующие вызовы к LLM и традиционным инструментам. На Juice Shop типичные находки: SQL Injection (A03:2021), Broken Access Control (A01:2021), Security Misconfiguration (A05:2021). Один прогон: $1-5 за API, 10-15 минут.
Для интеграции с IDE - Pentest-AI поддерживает MCP. Из Claude Code или Cursor можно вызывать offensive-инструменты через natural language: описание задачи на английском, AI-оркестратор выбирает подходящий инструмент (скажем,
sqlmap для SQLi-тестирования), формирует параметры, запускает сканирование и возвращает интерпретированные результаты. Это переход от "человек -> один инструмент -> результат" к "человек -> AI-оркестратор -> набор инструментов -> reasoning loop -> отчёт".[Ограничение: качество MCP-оркестрации зависит от промптов и модели. GPT-4o даёт лучшие результаты, чем GPT-4o-mini или локальные модели. Обёртка множества инструментов не гарантирует корректную параметризацию - проверяйте каждый вызов вручную перед запуском на реальной цели.]
Ограничения AI-пентеста и автоматизации exploit generation
Галлюцинации - архитектурное свойство, не баг. LLM генерируют правдоподобный, но фактически неверный вывод. В контексте AI пентеста это значит: агент может заявить об SQL-инъекции, которой нет, или сгенерировать эксплойт, красиво выглядящий в терминале, но бессмысленный. Я с таким сталкивался не раз - модель уверенно рапортует о найденной RCE, а при ручной проверке оказывается, что она просто красиво интерпретировала 200 OK. Pentest-AI решает это архитектурно: детерминированные пробы отвечают за детекцию, LLM - за планирование. XBOW решает процессно: security-команда ревьюит отчёты перед отправкой. В PentestGPT без human-in-the-loop галлюцинации неизбежны.Excessive Agency (OWASP LLM06:2025). По OWASP, Excessive Agency - риск непреднамеренных действий LLM с чрезмерными полномочиями. AI-агент с неограниченным доступом к
sqlmap --risk=3 --level=5 может выполнить деструктивные запросы к production-базе. Как формулирует обзор MojoAuth: «an unsupervised LLM agent against production is an incident report waiting to happen.» Ограничивайте scope агента до конкретных целей и техник до запуска.Нет обхода EDR. Ни один публично доступный инструмент AI пентеста не демонстрирует обход конкретных EDR-продуктов: CrowdStrike Falcon, SentinelOne, Elastic 8.11+. По состоянию на середину 2026 года публичных свидетельств обратного нет. EDR-обход требует adversarial creativity, timing-атак, sleep mask, понимания конкретного продукта на уровне user-mode hooks vs kernel ETW-TI. Здесь AI пока что тупо не дотягивает.
NIST AI RMF: чеклист для управления рисками. По NIST AI Risk Management Framework (AI 100-1), управление рисками AI строится на четырёх функциях. Для AI пентеста это транслируется в конкретные действия:
- GOVERN - письменная политика использования AI-инструментов в пентесте, утверждённая руководством
- MAP - документированный скоуп каждого AI-сканирования: какие цели, какие техники разрешены
- MEASURE - метрики false positive rate, coverage, cost per vulnerability для каждого прогона
- MANAGE - процесс ручной валидации каждой critical/high находки; accept/reject decision matrix
Рынок AI пентеста через 12 месяцев будет принципиально другим. XBOW, по собственным данным, отправил около 1,060 отчётов на HackerOne автономно в 2025-м. К 2027-му таких систем будет десятки, и порог входа в AI bug bounty вырастет так, что "сканировать вручную и отправлять репорты" перестанет быть жизнеспособной стратегией. Пентестер без AI проиграет не коллеге - он проиграет автономному агенту, который работает параллельно по всему периметру за $30.
Но есть щель, в которую AI ещё долго не пролезет: post-exploitation в hardened средах, обход конкретных EDR, кастомная бизнес-логика, цепочки, требующие adversarial creativity. Это именно та работа, за которую заказчик платит $15,000+. Пентестер, который умеет писать обвязки вокруг LLM и встраивать агентов в свой workflow, становится в разы ценнее. Тот, кто ждёт готовых кнопок - обесценивается со скоростью каждого нового релиза. Разделительная линия проходит по одному навыку: способность писать код, который управляет AI-инструментами, а не просто запускает их из CLI. Если Python в арсенале на уровне copy-paste - курс "Python для пентестера" на Codeby закрывает именно этот фундамент, без которого любой LLM-пайплайн остаётся чёрным ящиком.
Последнее редактирование модератором: