开源AI渗透测试平台上线：50多款工具自动编排

网络安全领域出现了一个新玩家。DarkMoon，一个完全开源的自主渗透测试平台，正在把AI代理架构引入漏洞评估工作流。

这不是又一个扫描器。传统工具按固定脚本跑，DarkMoon的做法是让多个AI子代理分工协作——发现、推理、规划、执行，全程不需要人工一步步指挥。核心区别在于它用了一层叫MCP（模型上下文协议）的控制接口，AI只负责"动脑"，真正碰系统的操作被隔离在Docker容器里。

平台内置了50多款编译好的安全工具，按功能分类打包。端口扫描用Naabu和Masscan；Web测试调Nuclei、ffuf、sqlmap、Arjun、wafw00f；信息搜集派Subfinder、Katana、Waybackurls、httpx；CMS专项有WPScan和CMSeeK；网络枚举则上Hydra、dig和SNMP工具集。所有工具装进一个Docker镜像，开箱即用，不用配环境变量。

工作流程是自动分阶段的。输入目标后，系统先扫端口和服务，做技术栈指纹，建攻击面模型，再根据发现动态触发对应代理。多个代理可以并行跑在混合基础设施上，比人工串行测试快得多。

合规性也被考虑进去了。DarkMoon对标ISO 27001、NIST SP 800-115和MITRE ATT&CK框架，输出的是可复现、有证据的评估报告，不是一堆零散日志。

几种人用得上：安全团队做持续自动化测试，DevSecOps工程师往CI/CD流水线里塞安全环节，赏金猎人加速目标分析，安全研究员实时探索动态攻击面。平台原生支持赏金模式，命令行直接认FOCUS、EXCLUDE、SEVERITY、FORMAT=h1这些参数，AI代理自己解析。

部署门槛不高。GitHub开源，只要Docker、Docker Compose和一个LLM API key。Anthropic、OpenAI、OpenRouter都能接，本地跑的话Ollama和llama.cpp也支持。

背后趋势很明显：渗透测试正在从"人+工具"转向"AI编排工具"。DarkMoon不是唯一一个，但它把开源、多代理架构、容器隔离、标准合规这几件事捆在一起做了。对于想自动化安全测试又不想完全黑箱化的团队，这算是个中间态方案。