人工智慧在滲透測試領域取得了長足的進步，我們現在看到一些開源工具能夠真正模擬人類測試人員的工作方式，而不僅僅是執行掃描。我 (Alex Haynes，IBS Software首席資訊安全官) 深入研究了其中的三款工具：BugTrace-AI、Shannon 和網路安全人工智慧框架 CAI，並在實驗室環境中用它們測試了真實目標。結果比我預期的還要好。以下詳細分析了每種工具的優點、缺點以及從理論到實踐的比較。

1. BugTrace-AI：無需「爆炸」的AI偵察

BugTrace-AI並非設計為「一鍵攻破」工具，而更像是一款用於漏洞發現階段的 AI 驅動助理。它的部署非常簡單，只需一個標準的 Docker 配置、一個 OpenRouter API 金鑰，即可立即使用使用者介面。它能夠分析 URL、JS 檔案和請求頭，從而發現疑似問題模式。

當我用它測試我的應用程式時，它立即開始標記問題：SQL注入點、XSS候選漏洞以及一些不規範的JWT配置。需要記住的重要一點是，BugTrace不會直接執行漏洞程式。它會給出“提示”，並解釋為什麼某個特定端點看起來容易受到攻擊，通常還會提供一個示例有效載荷供你自行嘗試。人們可能會認為這是一個缺點，但它能有效降低噪音，並將誤報率控制在令人驚訝的低水平。

如果你需要在接近生產環境的環境下進行掃描，又不想擔心服務崩潰，那麼它是個不錯的選擇。但另一方面，這也意味著你需要手動驗證漏洞是否真實存在。就我使用的情況來看，它提供的大部分線索都很可靠，不過我也遇到過一些最終證明是虛驚一場的「幽靈」線索。

它還使用多個“角色”進行自我複核。這個額外的處理層非常棒，因為它避免了報告中出現相同結論的五個不同版本。

至於費用，您支付的是代幣。使用 GPT-4 或 Claude 進行一次適中的掃描，API 費用大約幾美元（它也支援 Gemini）。如果您已經擁有企業 API 金鑰，費用幾乎可以忽略不計。

2. Shannon：積極主動的自主開發

Shannon與 BugTrace 正好相反，它旨在發現漏洞並加以利用。我使用的是 Shannon Lite 版本，它可以無頭運行，並透過 API 與 Claude、Gemini 或 ChatGPT 相容。

這種工作流程很有意思，因為它同時查看原始程式碼和正在運行的應用程式。它重點關注OWASP的「重磅」漏洞：SQL注入、XSS、SSRF和身份驗證繞過。

用它測試一些「設計上就存在漏洞」的應用程序，結果令人大開眼界。 Shannon 並沒有說“這個登錄看起來不太安全”，而是直接繞過了登錄流程，導出了數據，並提供了截圖和日誌來證明這一點。關鍵的差異在於證據。如果 Shannon 說有漏洞，你就可以相當肯定它確實存在。

缺點在於它的視野過於狹隘， Shannon 在處理特定問題時表現出色，但它會忽略業務邏輯缺陷或奇怪的配置問題。如果 bug 不在其特定的「待處理清單」中，它就會忽略它。

它也很耗API點數。因為它需要不斷地“思考”和“反應”，所以運行一個中等規模的應用程式需要花費我大約8到10美元的API點數。它比BugTrace貴，但你付的是概念驗證的費用。

3. CAI：DIY 代理框架

網路安全人工智慧框架 (CAI)是我最喜歡的，也是我花最多時間研究的。它就像是安全團隊的樂高積木。 CAI 允許你將 LLM（層級模型）與你已使用的工具（例如 Nmap、Burp 等）組合起來，從而建立自訂代理。這次測試我主要專注於紅隊方面。

借助 CAI，我建立了一個代理，它可以掃描應用程式、分析結果，然後只需一個提示即可啟動，並自動切換到漏洞和報告功能。我什至讓它處理了一些內部網路問題，例如“哈希傳遞攻擊”。如果你想實現更高級的功能，還可以將其整合到 Burp Suite 中。

真正的亮點在於它不局限於 Web 應用。你可以建立用於雲端審計、本地網路甚至惡意軟體分析的代理程式。我什至嘗試在本地工作站上使用小型 Qwen 模型來運行它。雖然可以運行，但速度很慢且容易出錯。要真正發揮它的優勢，你需要像 DeepSeek R1 或 GPT-4 這樣的「進階」模型。

但別指望它開箱即用， CAI 的配置相當複雜。我花了大量時間研究提示工程，並修復代理陷入無限循環的問題，我還必須設定一些 LLM 代理來彌補不足。

成本方面，完全取決於你的選擇，你可以在自己的硬體上免費運行，但如果你使用頂級雲端模型來處理複雜的多步驟流程，那麼單次評估就很容易花費 10 美元甚至更多。

就現實世界而言

這三者相輔相成。BugTrace負責前期準備工作，Shannon驗證高風險問題的真實性，而CAI則彌補其他方面的不足。它們目前還無法完全取代人工滲透測試，但僅需幾個API令牌就能獲得如此高的速度和全面的覆蓋範圍，其吸引力不容忽視。

資料來源：https://www.helpnetsecurity.com/2026/02/02/open-source-ai-pentesting-tools-test/