文章总结： CyberStrikeAI是一款AI原生安全测试平台，集成百余款工具，支持自然语言交互与一键部署。平台基于大模型驱动，具备角色定制、技能扩展及攻击链可视化功能，并支持MCP协议与RESTAPI集成。该工具旨在通过自动化编排降低渗透测试门槛，提升安全团队效率，适合安全研究与CTF场景，但需关注大模型调用成本及复杂环境下的准确性验证。 综合评分： 88 文章分类： 安全工具,AI安全,渗透测试,解决方案

CyberStrikeAI：让AI替你完成安全测试，一个指令就够

原创

工具党 工具党

幻泉之洲

2026年3月4日 20:01 北京

安全测试工作繁琐、工具分散怎么办？试试用Go编写的AI原生平台CyberStrikeAI。它能调用100多个安全工具，你只需要像聊天一样下达指令，它就能自动完成漏洞发现、攻击链分析等工作。本文带你了解它的核心功能和一键部署方法。

01 工具概述：AI驱动的安全测试平台

CyberStrikeAI是一个用Go语言构建的AI原生安全测试平台。平台集成了100多个安全工具，并内置了智能编排引擎。你能直接通过自然语言指挥平台进行测试，它会自动分解任务、调用工具，完成从漏洞发现、攻击链分析到结果可视化的全流程。

这个平台主打几个特点：聊天式的自然交互、基于角色和技能的测试模式（比如专门做渗透测试的角色）、完整的攻击链可视化和生命周期管理。说白了，它想让你花更少时间在敲命令上，花更多时间在分析结果和制定策略上。

02 核心亮点：集成100+工具，支持多种玩法

CyberStrikeAI的武器库很全。

• 它预装了100多个主流安全工具，覆盖了完整攻击链的各个阶段。
• 网络扫描方面有nmap、masscan、rustscan。
• Web应用扫描有sqlmap、nikto、dirb。
• 漏洞扫描有nuclei、wafw00f。
• 子域名枚举有subfinder、amass。
• 还有云安全审计、容器安全、二进制分析、密码破解等一大堆其他工具。

平台支持几种操作模式。

一是最直接的聊天对话测试。你在Web界面里输入“扫描一下192.168.1.1的开放端口”，AI就会替你规划并调用nmap等工具执行。

二是基于角色的测试。系统预定义了12个以上的安全测试角色，比如“渗透测试专家”、“CTF选手”、“Web应用扫描员”。选择不同角色，AI的行为侧重点和能使用的工具列表就会改变，这能让测试更有针对性。

还有一个“技能系统”。平台预定义了20多种安全测试技能，比如SQL注入测试、XSS测试、API安全测试。这些技能可以附加到角色上，AI在需要时可以主动调阅相关技能文件来指导测试。

高级功能还包括批量任务管理、漏洞管理系统（可以记录、跟踪漏洞状态）、知识库检索和攻击链智能分析。平台会解析整个对话过程，自动构建出交互式攻击图谱，能看到每个步骤用了什么工具、发现了什么风险。

▲ 系统仪表盘展示了运行状态、漏洞情况等信息

▲ 攻击链可视化与任务管理界面

03 如何上手：一键部署与基本使用

官方提供了一键脚本部署，对新手很友好。

你需要先在电脑上准备好Go 1.21+和Python 3.10+环境。然后运行下面这三条命令就好了。

运行环境准备好后，只需依次执行这三条命令。

git clone https://github.com/Ed1s0nZ/CyberStrikeAI.git cd CyberStrikeAI-main chmod +x run.sh && ./run.sh

这个run.sh脚本会自动检查环境、安装依赖、构建项目并启动服务器。跑起来以后，在浏览器打开http://localhost:8080就能看到界面。

第一次使用需要配置。在Web设置里，填上你的大语言模型API信息。它兼容OpenAI的接口，所以你可以用GPT、Claude、DeepSeek等模型的API。

首次使用前必须配置大语言模型的API密钥，否则AI功能无法工作。

openai:   api_key: “sk-your-key”   base_url: “https://api.openai.com/v1”  # 或者改成 https://api.deepseek.com/v1   model: “gpt-4o”  # 也可以是 deepseek-chat, claude-3-opus 等

登录的初始密码会自动生成在启动日志里，记得进去后自己改一下。工具不是必须全部安装，你可以按需安装常用的模块，比如nmap, sqlmap，如果AI执行时发现缺少工具，它会尝试找替代方案。

04 特色功能详解：像搭积木一样灵活

如何创建自定义测试角色？

平台允许你创建自己的角色。这其实很简单，就是往roles/目录里放一个YAML文件。

比如你想创建一个专门做API安全测试的角色，就新建一个文件，定义好角色名字、描述、要使用的特定工具（比如只允许调用api-fuzzer、arjun）、附上相关技能，再给一段引导提示语。重启服务，这个角色就会出现在Web界面的下拉菜单里供你选择。

自定义角色是让CyberStrikeAI适应你团队的特定工作流的好方法。

知识库有什么用？

CyberStrikeAI内置了一个本地知识库，可以用来储存你的渗透测试笔记、漏洞库、检查清单等。它是向量搜索的。

在测试对话中，AI如果需要某些专业知识，可以主动去知识库搜索。比如你问“SQL注入怎么测”，AI可以调用search_knowledge_base工具，从知识库里找到相关内容，结合它已有的知识给你更精准的建议。

知识库支持增量更新，文档用Markdown写就好。

无处不在的MCP支持

这是平台的一个亮点。MCP是Model Context Protocol的缩写，你可以简单理解为AI能调用外部工具/数据的协议。

CyberStrikeAI原生内置了MCP服务。这意味着你可以通过MCP把它连接到像Cursor、Claude Desktop这样的AI IDE里。这样你在写代码的时候，也能直接通过AI助理调用平台上的安全工具。

更厉害的是“外部MCP联邦”。你可以在CyberStrikeAI里添加和管理第三方的MCP服务器，平台能把它们的工具也整合进来。比如你可以连上一个Burp Suite的MCP服务器，在做Web测试时，数据就能在不同工具间流转。

05 还能怎么用？不仅仅是Web界面

除了Web操作，平台还提供了完整的REST API，自动化爱好者狂喜。

几乎所有操作都能用API搞定：管理对话、执行工具、控制批量任务队列、增删改查漏洞记录、管理角色和技能。这就方便你把它集成到自己的DevSecOps流水线里。

它甚至支持通过钉钉或飞书机器人进行交互。配置好长连接后，你就能在手机上通过聊天应用给CyberStrikeAI下达指令，在外面也能做一些应急的扫描确认。

06 优缺点分析与注意事项

重点：请务必在法律授权范围内使用！

说实话，CyberStrikeAI的想法很大胆，把一堆工具用AI串起来，试图降低安全测试的门槛。对于中大型安全团队，它能提升效率，让初级工程师也能在AI指导下执行复杂任务。对于个人研究者或爱好CTF的人来说，这是个强大的“瑞士军刀”。

优点很明确：工具集成度高、上手相对快、玩法灵活（角色、技能、MCP）。尤其是它的MCP联邦能力，未来想象空间很大。

但也有一些方面需要注意。首先它重度依赖大语言模型的API，你需要准备一个靠谱且便宜的API源，否则推理成本和响应速度都是问题。其次，工具集虽然多，但在实际复杂环境里，自动化脚本能否达到资深工程师手动测试的精准度，还需要实践检验。

CyberStrikeAI是一个开源的、处于活跃开发阶段的项目。它的价值在于提供了一个全新的自动化安全测试思路和框架。如果你对AI+安全感兴趣，或者团队正在为测试效率发愁，它绝对值得你部署一个试试看。

项目的GitHub地址：https://github.com/Ed1s0nZ/CyberStrikeAI

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 工具党 工具党《CyberStrikeAI：让AI替你完成安全测试，一个指令就够》