文章总结： RainSec红队AGI在90天企业内测中展示了全流程自动化渗透测试能力，累计发现60个有效漏洞（含13个严重级别），覆盖SQL注入、未授权访问等风险类型。系统通过任务图架构实现可控的自主侦察、漏洞链构造和跨阶段记忆，支持企业级审计复盘。当前重点服务金融、能源等行业的持续性安全测试需求，将渗透测试从项目制升级为常态化防御手段。 综合评分： 85 文章分类： 渗透测试,红队,AI安全,内网渗透,安全工具

RainSec在AI智能渗透测试方向的实践

RainSec RainSec

RainSec

2026年6月6日 14:29 湖南

在小说阅读器读本章

去阅读

渗透测试AGI企业内测启动：先看一份90天成绩单

过去90天，我们让 RainSec 红队AGI 持续跑在真实授权测试、SRC标准评定、开源项目源码审计和企业内网训练环境里。

结果先放出来。

它累计完成163个渗透测试会话，覆盖约30个独立目标系统。跨会话去重后，按SRC标准严格评定，共确认60个有效漏洞：严重13个，高危35个，中危12个。

这些漏洞里，有核心数据库SQL注入、远程命令执行、未授权管理接口、身份认证绕过，也有大规模敏感信息泄露、公开镜像仓库、前端密钥泄露、内网拓扑暴露和源码级内存安全问题。

这不是“AI辅助写报告”，也不是把扫描器结果喂给大模型润色。

在多个案例里，RainSec 红队AGI 从资产发现开始，自己判断优先级，沿着接口、配置、认证、凭证、内网和业务逻辑一路推进，最终给出可以被人工复核的攻击链、证据和修复优先级。

站在甲方安全负责人的视角，真正的问题不是“AI又会挖洞了”。真正的问题是：攻击侧已经可以用近乎零边际成本的方式，持续扫描你的子域名、API、前端JS、镜像仓库、测试环境和供应链项目；而防御侧的大多数渗透测试，仍然是一年一次、项目制交付、靠人堆工时。

攻击是连续的，防御却常常是离散的。

所以我们做了 RainSec 红队AGI。它面向全流程渗透测试，独立完成侦察、漏洞发现、受控验证、后渗透分析和报告生成。不是扫描器，不是辅助插件，也不是GPT套壳。

先看这90天的三张成绩单。

第一张成绩单：真实目标，60个有效漏洞

在真实授权测试和SRC标准评定口径下，RainSec 红队AGI 覆盖约30个独立目标系统，最终去重确认60个有效漏洞，其中13个达到严重级别。

一个典型案例发生在某教育行业核心认证相关系统。目标通过非标准端口暴露了内部框架接口，接口参数经过简单加密后传入后端查询逻辑。RainSec 红队AGI 识别出加密参数的固定模式，还原请求结构，随后通过盲注和错误回显确认数据库结构，最终枚举出90余张业务表，并从配置表中发现40余组数据库连接配置。

这条链路的关键不在于“发现了SQL注入”。

关键在于它没有停在单点漏洞验证，而是继续判断：这个注入点连接的是不是核心库？库里有没有跨系统凭证？凭证能不能串联到更多业务？认证流程里有没有可利用的令牌逻辑？最后形成的是一条从公网接口到核心数据资产的完整风险路径。

另一个案例来自某能源企业的业务管理系统。公开接口文档暴露了测试控制器。RainSec 红队AGI 定位到未授权用户管理端点，读取到管理员账户信息，随后在授权范围内创建测试账户，并只对该测试账户验证密码修改能力，同时发现认证框架存在可被验证的反序列化风险。

对甲方来说，这类问题最危险的地方不是一个测试接口没删，而是测试接口、明文敏感信息、管理后台、默认密钥和框架历史问题被串成了一条可执行链路。传统扫描器可能会报出几个分散风险项，真正能不能形成业务影响，往往还要靠人判断。

RainSec 红队AGI 的价值，是把这些碎片自动连成“能否造成业务影响”的结论。

还有一类结果更贴近企业日常暴露面：未授权API和前端敏感信息泄露。

在某制造业员工服务系统中，RainSec 红队AGI 发现外部查询接口无需认证即可按连续编号枚举员工资料，验证样本包含姓名、手机号、身份证号、家庭地址、部门岗位等敏感字段。另一个教育信息化系统中，未授权用户接口一次返回超过千条账号、姓名和电话数据。某能源行业镜像仓库被设置为公开访问，214个容器镜像可被匿名拉取，镜像层中进一步发现身份认证、配置中心、网关签名等多类敏感凭证。

这些案例都已做脱敏处理，但风险类型很清楚：企业真正暴露在外的，不只是官网和VPN，还有API、测试环境、前端包、镜像仓库、Actuator、Swagger、临时端口、开发配置和供应链依赖。

第二张成绩单：源码审计，能从代码里推出攻击链

这90天里，RainSec 红队AGI 还完成了两个开源视频/物联网方向项目的多轮源码审计。去重后，一个项目发现约34个独立问题，另一个项目发现约26个独立问题。

问题类型覆盖SQL注入、命令注入、SSRF、路径穿越、认证绕过、硬编码凭证、弱密码存储、XML外部实体、协议解析边界缺陷等。

更重要的是，它并不是只做“危险函数检索”。

在某流媒体项目中，RainSec 红队AGI 沿着协议解析路径追踪到属性长度字段和真实数据长度之间缺少边界校验。攻击者构造异常长度的协议包，就可能触发堆内存越界读取。它同时追踪到媒体源添加接口将用户输入拼接进外部进程命令，形成命令注入风险；又从多个可控URL参数里识别出SSRF能力，并结合本地回环认证豁免，推导出从SSRF到管理API绕过的组合链。

在另一个国标视频平台项目中，RainSec 红队AGI 识别出数据访问层仍有字符串拼接SQL残留，认证排除列表过宽，JWT过期校验缺失，快照读取接口存在路径穿越，多个配置文件硬编码基础组件凭证，且密码存储采用无盐MD5。

单独看，每个问题都像是常见代码安全缺陷；连在一起，它们指向的是同一个结论：一旦外部接口、默认配置和弱认证同时存在，平台可能从边缘设备管理入口被一路推进到核心服务组件。

源码审计对企业的意义很直接。攻击面不只在自研系统，也在你引入的开源组件、行业平台、二开系统和供应链项目里。安全团队真正缺的不是“再跑一遍规则”，而是有人能持续回答：这段代码如果上线，最可能被怎么打？低风险入口和配置缺陷组合后，会不会变成高风险链路？哪些修复应该排在第一优先级？

第三张成绩单：内网训练，还原核心权限风险路径

为了验证后渗透和多阶段决策能力，我们还让 RainSec 红队AGI 跑过企业内网训练环境。

在一次内网域场景中，RainSec 红队AGI 从一台边界Web主机取得初始访问能力后，先完成本机凭证收集和数据库枚举，发现该主机同时连接外部访问网段和内部域网段。随后它基于网络接口、ARP、DNS和共享信息还原内网拓扑，识别出域控制器和关键业务主机。

接下来，系统没有盲目扩大测试范围，而是沿着可验证路径推进：通过边界主机建立转发通道，探测域控可达服务，基于已获授权上下文执行受控验证，最终确认存在通向域管理员级权限的风险路径。同时，它继续对另一台关键主机做服务识别，发现旧版系统、数据库服务、工控相关组件和Web服务残留，为后续风险评估提供依据。

这条链路在公开文章里不展开操作细节。

我们真正想强调的是：全流程渗透不是“发现漏洞”四个字。它包括入口判断、证据收集、凭证风险验证、网络拓扑理解、横向路径选择、权限边界确认、风险收敛和报告复盘。每一步都要基于上下文做取舍。

在企业攻防演练里，安全负责人关心的不是某个工具能扫出多少端口，而是：它能不能在授权范围内模拟真实攻击路径？能不能指出最短攻击路径？能不能在不影响业务的前提下验证真实风险？能不能把过程变成蓝队可复盘、管理层看得懂、整改团队能落地的证据链？

技术架构：让Agent行动，但让Runtime掌控

很多安全Agent停在第一步：让模型接上工具，然后让它自由规划、自由调用、自由输出。这个方向很容易做出演示，但很难进入企业渗透测试场景。

因为企业要的不是“模型胆子大”，而是行为可控、日志可审计、过程可复盘、人工可接管。

RainSec 红队AGI 的核心架构，是把一次安全评估建模成持续型Task。一个Task可以是一组资产、一个应用、一个网段，也可以是一场演练任务。用户持续补充的目标、限制、线索和优先级，不会直接变成工具调用，而是先进入控制平面，被结构化成任务图和策略约束。

RainSec 红队AGI 可治理运行闭环

这套架构里有五个关键层。

第一，Task Control Plane。用户表达的是意图，不是直接执行指令。比如“只测这个业务域名”“不要做破坏性验证”“优先看API和前端泄露”，都会先被记录为运行时输入，再进入后续调度。

第二，TaskGraph。渗透过程不是一段长提示词，而是一张有依赖关系的任务图。侦察、指纹识别、漏洞假设、验证、凭证分析、后渗透、报告，都有明确状态。任务能不能运行、为什么运行、为什么阻塞，都由运行时决定。

第三，Manager和Judge-selected Routing。系统不会把所有动作硬编码给一个Agent，也不靠关键词分类器粗暴分流。Manager会结合当前任务、状态板、Agent职责、工具面和策略上下文，让routing judge选择合适的执行单元；Runtime再验证这个选择是否合法、工具是否可用、边界是否明确。

第四，PolicyGate。安全边界不是写在prompt里的提醒，而是进入调度路径。目标是否在授权范围内、风险等级是否允许自动执行、是否需要人工审批、是否触及高风险动作，都在Solver执行前被检查。对于允许执行的动作，系统还可以限定目标、端口、路径、方法、操作次数、超时时间和凭据使用规则。模型可以建议，但不能绕过策略。

第五，Global State Board。所有关键动作都会写成事件：用户约束、任务变更、路由决策、策略结果、发现、证据、验证结论和失败路径。状态板从事件中投影出语义图和进度板，Web控制台、报告、复盘和后续任务读的是同一份事实源。模型输出只是claim，证据和验证决定它能不能成为结论。

Global State Board 事件源和投影

这也是 RainSec 红队AGI 和传统自动化工具最大的区别。

扫描器给你一批结果，Agent demo给你一段对话，而 RainSec 红队AGI 沉淀的是一次安全评估的完整运行时：有任务图、有语义图、有进度板、有证据、有策略、有审计，也有人工介入和复盘的入口。

当前能力范围

当前版本重点解决五件事。

第一，自主侦察决策。它不是对所有资产做无差别扫描，而是根据目标类型、响应特征、暴露服务和历史上下文选择优先级。

第二，漏洞链构造。它不会把SQL注入、配置泄露、弱认证、SSRF、Actuator暴露当作孤立条目，而会判断它们能不能组合成真实影响。

第三，跨阶段上下文记忆。一次渗透里发现的账号、接口、服务、网段、凭证、证据和失败路径，都会进入状态板。后续任务读取的是结构化事实，而不是让模型凭聊天记录回忆。

第四，可控性。企业测试必须有边界。目标范围、风险等级、可执行动作、是否允许利用验证、是否需要人工审批，都可以进入策略控制。

第五，报告闭环。测试过程中的请求、发现、证据、任务状态、策略决策和报告材料，可以沉淀为企业可复盘的安全评估记录。

当前版本聚焦Web/API、源码审计和内网渗透场景。物理渗透、社工工程不在覆盖范围内。

企业内测，我们在找谁

这次内测面向企业客户，不面向个人白帽。

我们优先寻找有真实安全测试场景的企业：金融、互联网、能源、政企、车企、运营商、教育信息化、工业互联网和大型集团型组织。适合接洽的角色包括CSO、安全总监、SRC运营负责人、蓝军负责人、攻防演练负责人和安服采购决策者。

如果你正在做以下事情，这套系统可能适合参与内测：

你希望把年度渗透测试升级为持续性渗透；你希望在攻防演练前先让 RainSec 红队AGI 预演一遍自家资产的攻击路径；你希望给蓝队或紫队找一个可控陪练；你希望减少部分外采安服中重复、低效、不可复盘的工时。

仅想体验AI demo、没有真实测试场景的，不在本期范围。

参与方式

如果你希望参与 RainSec 红队AGI 企业内测，可以在公众号后台留言。

请留下贵司名称、联系方式和想测试的场景。

攻击者已经AGI化了。

你的防御方，也该有一个。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：RainSec RainSec RainSec《RainSec在AI智能渗透测试方向的实践》