文章总结: ASTER是国产开源AI安全分析Agent框架,基于Go语言开发,整合代码审计、渗透测试和主机防护三大功能。采用ReAct框架驱动LLM,内置51个安全技能,支持Semgrep静态分析和SyntaxFlow数据流验证。提供YAML自定义Agent机制,兼容国产大模型,适合安全研究和授权测试场景。 综合评分: 85 文章分类: 代码审计,渗透测试,安全工具,AI安全,安全建设
ASTER:国产开源 AI 安全分析 Agent,代码审计+渗透测试+主机防护三合一
原创
JunYi JunYi
毅心安全
2026年6月2日 09:18 日本
在小说阅读器读本章
去阅读
🔐 ASTER:国产开源 AI 安全分析 Agent,代码审计+渗透测试+主机防护三合一
作者:Q16G | 项目地址:github.com/Q16G/aster | ⭐ 45 Stars · 213 次提交 · 14 个 Release
大家好,今天来聊一个国人自研、面向中文社区的 AI 安全 Agent 框架 —— ASTER。
全称 Agent-based Security Testing & Evaluation Runtime,Go 语言实现,MIT 开源,最新版本 v1.1.0-alpha-3 昨天刚发布(2026 年 6 月 1 日)。项目 README 里还附了微信交流群二维码,甚至仓库里直接放了两个微信文章 HTML 文件……很明显,这是一个专门为中文安全社区打造的项目,冲着公众号传播去的。
既然如此,我就好好给大家拆解一下。
ASTER架构图
ASTER 是什么?
一个在终端里运行的 AI 安全分析 Agent 框架,内置三大场景:代码审计、渗透测试、主机防护。
核心思路:用 ReAct 框架驱动 LLM 作为”大脑”,调用 51+ 个预置安全技能 + Semgrep/yak 等专业工具作为”手脚”,完成过去只有资深安全工程师才能独立完成的复杂分析任务。
与同类项目(Xalgorix、PentestGPT 等)最大的区别在于:ASTER 不是一个专注某个点的工具,而是一个可扩展的安全 Agent 运行时。三个内置 Agent 只是起点,你可以用 YAML 声明任意自定义场景。
核心架构:ReAct 四阶段循环
ReAct(Reason + Act)是目前 AI Agent 工程里最主流的推理框架。ASTER 的实现是:
Plan → Think-Act-Observe → Summary → FinalAnswer
开始前,AI 制定分析计划。中间阶段无限循环:思考当前状态、执行一个动作(调用工具/技能)、观察结果、再思考。直到信息足够,输出最终汇总和答案。
每次 Think-Act-Observe 循环消耗 Token。ASTER 支持 enable_history_compaction —— 当上下文窗口快撑满时自动压缩历史记录,让长任务不会因为 Token 超限而中断。默认最大迭代 1000 次,代码审计这种深度任务完全够用。
三大内置 Agent 深度解析
Agent 1:代码审计(默认启动)
这是 ASTER 最核心的能力,也是默认启动场景。
两个引擎的组合拳是亮点:
Semgrep SAST — 静态分析引擎,规则集直接内嵌到二进制里。首次运行自动解压到 ~/.aster/rules/,支持 Go、Java、Python、JS/TS、PHP、C/C++ 六种语言,零在线依赖。规则是 ASTER 团队自己写的,以 MIT 协议随项目发布。
SyntaxFlow 数据流分析 — 这是最有技术含量的部分。通过 Yaklang 的 yak 引擎(MCP stdio 接入),对代码做 SSA 形式的数据流分析,追踪从 source 到 sink 的完整路径,验证漏洞的实际可达性。
什么意思?举个例子:Semgrep 扫出来一个”可能的 SQL 注入”,但你不确定用户输入有没有经过参数化处理。SyntaxFlow 的 topdef/bottomUse 追踪可以告诉你:这个变量从哪里来,有没有经过净化函数,最终有没有不安全地到达 SQL 执行点。这样能大幅减少误报,把真正的漏洞浮出来。
实际使用:
# 安装 semgrep(必需)
pip install semgrep
# 安装 yak 引擎(推荐,数据流验证)
bash <(curl -sS -L http://oss.yaklang.io/install-latest-yak.sh)
aster
> 对当前 Java 项目做一次全量安全审计,重点关注 SQL 注入和反序列化
AI 会自动加载 sast-scan 技能,调用 Semgrep 扫描,然后用 SyntaxFlow 对高危发现做可达性验证,最终给出漏洞报告。
Agent 2:渗透测试
针对运行中的 Web 应用做动态安全测试,核心依赖是浏览器自动化。
# 安装浏览器驱动(会自动下载 Chromium)
npm install -g agent-browser && agent-browser install
aster
> /agent pentest
> /mode yolo
> 对 http://localhost:8080 做一次全面渗透测试
注意 /mode yolo 这个命令。默认模式(manual)每执行一步都要人工确认,渗透测试会产生大量浏览器操作,手动确认会累死你。yolo 模式让 Agent 在隔离环境里全自动跑完。
覆盖的测试类型: SQL 注入、XSS、IDOR(越权访问)、水平/垂直权限提升、未授权访问、CORS 配置错误、JWT 弱点、SSRF、文件上传绕过、认证滥用等。
支持自签 SSL 证书的站点、SPA/MPA 单/多页应用、需要登录认证的系统(把凭据告诉 AI 就行)。
Agent 3:主机防护
这个 Agent 是做主机安全基线检查、入侵检测和应急响应的,最大亮点是无需安装任何外部工具就能运行。
aster
> /agent host-defense
> /mode yolo
> 检查当前主机的安全基线配置,有没有可疑迹象
AI 会系统性地检查:SSH 配置安全性、SUID/SGID 文件、开放端口和服务、计划任务(crontab)、用户和权限、系统日志异常、启动项等。
可选安装 yara、chkrootkit、rkhunter 增强恶意软件检测能力。不安装则退化为 AI 启发式分析 + 内置 bash 脚本检查,仍然有较好的覆盖。
注意:全量检查需要 root 或 sudo 权限,shadow 文件读取、SUID 扫描等步骤会自动跳过没权限的部分。目前完整支持 Linux,macOS 部分支持,Windows 暂不支持。
51+ 安全技能:Agent 能力的真正来源
这一块设计得相当精巧,值得单独说。
ASTER 把安全知识和操作指令拆分成一个个独立的”技能(Skill)”,按 YAML 格式存储。Agent 不是一开始就把所有技能塞进 prompt(那会把上下文窗口撑爆),而是运行时按需注入:AI 判断当前阶段需要什么技能,调用 load_skills,对应技能的指令才进入当前上下文。
技能有两种执行模式:inline 模式注入当前 Agent 上下文直接执行;fork 模式启动一个独立子 Agent 执行,结果回传给主 Agent。复杂的多步骤分析特别适合 fork 模式,防止主 Agent 的上下文被污染。
运行时管理:
/skill # 看所有技能状态
/skill enable sql-injection-comprehensive # 启用某个技能
/skill disable sast-scan # 禁用(preload_skills 里的除外)
技能覆盖:SQL 注入全面检查、文件上传绕过、CORS 配置检测、JWT 弱点分析、IDOR 检测、SSRF、垂直权限提升、未授权访问、认证综合测试、敏感信息泄露、密钥检测、安全基线检查、入侵检测、恶意软件检测、应急响应、日志分析……51 个,还在持续增加。
LLM 支持:7 大内置 + 128 扩展,国产模型全齐
这是专门为国内用户设计的部分,配置上做了不少工作。
7 大默认探测 Provider: OpenAI、Anthropic、DeepSeek、Groq、OpenRouter、Together、Ollama(本地)。
通过 models.dev 注册表额外支持 128 个 Provider,其中国产大模型应有尽有:月之暗面 Kimi(kimi-k2)、智谱 GLM-4、阿里通义千问、硅基流动、魔搭、MiniMax 等。
配置优先级从高到低:CLI 参数 > ASTER_* 环境变量 > ~/.aster/config.yaml > Provider 默认 > 硬编码兜底。
有个细节值得注意:模型变体(variants)机制,可以为同一模型定义多套参数,最典型的是开启 DeepSeek 的深度思考模式:
providers:
deepseek:
default_model: deepseek-chat
variants:
deep:
thinking: true
然后运行时 /variant deep 切到深思考模式,/variant none 切回普通模式。代码审计这种需要深度推理的场景,用 thinking 模式确实会更准。
本地 Ollama 也完整支持,适合敏感代码不想传云端的场景。但 README 里诚实地说:本地模型在复杂多步推理场景下效果会下降,这是现实情况。
MCP 协议扩展:无限扩展的工具集
ASTER 支持 MCP(Model Context Protocol)三种传输方式:stdio(本地子进程)、SSE(服务端事件流)、Streamable HTTP。
yak 引擎就是通过 MCP stdio 接入的,默认 config.yaml 里已经写好配置。你也可以把任意支持 MCP 的工具挂进来,比如之前介绍过的 cve-mcp-server,和 ASTER 组合使用会很顺手。
MCP 可以配置为全局(所有 Agent 可用)或 Agent 专属,灵活控制工具的可见范围。
自建 Agent:这才是框架价值的体现
除了三个内置场景,你可以用 YAML 声明任意专属 Agent。比如专门做 API 安全审计的场景:
name: api-audit
role: API 接口安全审计专家
instruction: |
1. 先了解项目结构
2. 搜索路由定义和中间件
3. 加载 sast-scan 做静态分析
4. 重点关注:未鉴权端点、SQL 注入、越权访问
skill_names:
- sast-scan
- sql-injection-comprehensive
- auth-comprehensive
- idor-detection
policies:
max_iterations: 500
allow_bash: true
保存到 ~/.aster/agents/api-audit.yaml,重启后 Ctrl+K 或 /agent api-audit 就能切换使用。
你可以针对自己公司的业务场景写专属 Agent,注入特定的审计指令、特定的技能组合、特定的工具链。这是 ASTER 相比”一键运行”类工具最核心的差异化价值。
快速上手
推荐直接下载预编译二进制,无需 Go 环境:
前往 github.com/Q16G/aster/releases 下载对应平台的包。
macOS/Linux:
tar xzf aster_<版本>_darwin_arm64.tar.gz
chmod +x aster && sudo mv aster /usr/local/bin/
# 配置 API Key(任选一个)
export DEEPSEEK_API_KEY=sk-xxx
# 或
export ANTHROPIC_API_KEY=sk-ant-xxx
# 启动
aster
首次运行自动生成 ~/.aster/ 目录,包含 config.yaml 和三个内置 Agent 的 YAML 配置文件,可以直接按需修改。
已有版本可以自更新:aster update
横向对比:在同类里排在哪?
和之前介绍过的 Xalgorix(全自动渗透 + 70+ 工具链)相比,ASTER 更偏框架属性,开箱即用的”一条命令跑完整渗透”体验不如 Xalgorix,但自定义能力、SAST 代码审计深度(Semgrep + 数据流)、主机防护这三块是 Xalgorix 没有的。
和 PentestGPT(学术项目)比,ASTER 工程完整度更高,有 TUI、有 MCP、有技能体系、有国内 LLM 支持,但 PentestGPT 有更丰富的学术背书和社区。
ASTER 的独特定位:国内安全从业者开箱即用的 AI 安全 Agent 运行时,代码审计和主机防护是其他同类工具少有涉及的场景。
客观评价
亮点:Go 编写性能好、三场景覆盖面宽、Semgrep+SyntaxFlow 组合在代码审计里确实有技术含量、国产 LLM 支持友好、YAML 自定义 Agent 机制设计清晰。
不足:项目还在 alpha 阶段(v1.1.0-alpha-3),45 个 Star 社区规模还很小;渗透测试的浏览器自动化在复杂 SPA 场景下稳定性有待验证;文档深度不够,部分技能的详细用法需要自己探索。
综合来看,这是一个思路清晰、工程扎实、专门为国内安全社区设计的项目。代码审计场景是最值得尝试的部分,直接放到你的项目目录下跑一次 aster,感受一下 AI 驱动的全量代码安全分析是什么体验。
作者有微信群,进去聊聊也是了解项目方向的好方式。项目刚刚起步,如果你有定制化需求,现在贡献代码和意见是最好的时机。
⚠️ 本文仅供安全研究与教育用途。渗透测试和安全评估必须在获得书面授权的目标上进行,未授权测试违法。
觉得有用点个在看,下期继续聊 AI 安全工具链。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:毅心安全 JunYi JunYi《ASTER:国产开源 AI 安全分析 Agent,代码审计+渗透测试+主机防护三合一》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论