北京
一次人工渗透测试报价1万到5万美元,排期要等几周,执行耗时数天,等报告送到客户手里,里面的漏洞信息可能已经过时。这是伦敦网络安全公司Intruder描述的行业现状。这家从英国政府通信总部(GCHQ)网络加速器毕业的企业,最近推出了AI渗透测试代理,声称能在几分钟内复现人工渗透测试的方法论。
公司首席执行官Chris Wallis将于5月13日在KnowBe4的KB4-CON大会上展示这项技术。核心卖点很直接:人工渗透测试的深度,按需即时获取,成本大幅降低。
这个时间点的选择并非偶然。网络安全行业正在目睹AI以快于防御侧的速度重塑攻击侧。Anthropic的Claude Mythos Preview在单次评估中就发现了数千个覆盖所有主流操作系统和浏览器的零日漏洞。自主渗透测试初创公司xBow在2026年3月融资1.2亿美元后达到独角兽估值。问题已不再是AI是否会取代人工渗透测试人员,而是这一替代能否快到足以弥合AI发现漏洞的速度与企业修复漏洞的速度之间的差距。
Intruder的AI渗透测试代理的工作机制是:用人工渗透测试人员会采用的相同方法,对漏洞扫描器的发现结果进行调查。当扫描器标记潜在问题时,AI代理直接与目标系统交互,发送请求、分析响应、探测暴露数据,以判断该发现是真实可利用的漏洞还是误报。调查范围涵盖注入攻击、客户端漏洞和信息泄露。
漏洞扫描器与渗透测试的历史区别在于:前者只是标记潜在问题,后者则证明问题可被利用。扫描器产出数千条发现,其中大量是误报或低风险问题,消耗安全团队时间却不改善安全态势。渗透测试人员的工作是筛选这些发现,判断哪些真正重要。Intruder的AI代理自动化的是这第二步。
针对单个问题的调查功能现已上线。更广泛的Web应用渗透测试——即代理将多个发现串联起来、映射应用中的攻击路径——预计本季度末推出。公司称这是第一波发布,后续版本计划扩展代理的覆盖范围。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
