问题

更新: 5/3/2025 字数: 0 字 时长: 0 分钟

题目问题

原题目是：基于AI智能体的自动化渗透测试技术设计与实现 改为：基于AI智能体的自动化渗透测试技术研究

主要利用大模型做了哪些工作

大模型的工作方式如下图所示，智能渗透测试会利用情报收集的Agent，对渗透目标进行情报收集，然后将获取到的信息传输给大模型，大模型根据渗透目标和情报，首先会对信息进行解析，结构化处理信息，构建一个渗透任务树PTT，然后根据渗透任务书进行推理和决策，最终生成相应的可执行指令，传递给对应的执行Agent。同时，整个过程会把信息不断反馈给大模型进行强化学习。 ![[attachments/whiteboard_exported_image (11).png]]

该研究主要的Challenge在哪里

我认为主要位于在Agent实现情报收集后，传送给大模型进行结构化处理后，如何利用Metasploite实现自动化渗透测试。

是否利用相应的渗透测试模型进行实验，结果如何？

主要基于Deng等人的关于渗透测试大模型的文章《 Deng G, Liu Y, Mayoral-Vilches V, et al. Pentestgpt: An llm-empowered automatic penetration testing tool[J]. arXiv preprint arXiv:2308.06782, 2023》中给出的Benchmark，利用Deng开源的Pentestgpt进行了对应实验，主要测试了Vulnhub上的渗透测试目标，对于付费的HackTheBox渗透目标没有进行测试。测试结果显示，简单和中等的题目可以渗透成功，而难题基本无法渗透成功。

后续工作改进

Howie：对于Agent的调研还不够，没有讲出具体的Agent实现过程，还需要对渗透测试方面的Agent进行调研。 对于论文的Novelty应当放在大模型利用Agent实现渗透测试任务规划和策略推理上，然后对于生成Metasploite能够理解的结构化信息和可执行的命令。