文章总结： 本文以墨西哥AI入侵事件为引，指出传统渗透测试的结构性失效，提出PraetorianGuard的攻击螺旋架构。该架构通过六大递归循环实现跨客户系统性学习，结合双引擎解决已知与未知漏洞，并利用角斗场机制实现智能体代码级自主进化，将防守从人工周期性测试转向持续自动的AI驱动闭环系统。 综合评分： 84 文章分类： AI安全,渗透测试,红队,安全建设,产品介绍

攻击螺旋：Praetorian Guard 的进攻性安全 AI 架构

幻泉之洲

2026年4月16日 17:01 北京

在小说阅读器读本章

去阅读

是个广告贴，但是从分析逻辑上还是有值得借鉴的内容

一个攻击者，两个AI订阅，十个政府机构，150G数据。2025年底的墨西哥政府入侵事件揭示了AI如何彻底改变攻击成本和时间。Praetorian Guard认为，防守必须用机器速度对抗机器速度。他们设计的“攻击螺旋”架构，不仅追求速度，更追求跨客户、跨任务的系统性学习与进化。本文深入解析这一架构如何让进攻性安全从传统人工为主、固化的渗透测试，转变为持续、自主、不断自我强化的智能系统。

临界点

一个人。两个AI订阅。十个政府机构。150GB的主权数据。

2025年12月，一名未公开身份的攻击者利用Anthropic的Claude和OpenAI的ChatGPT，入侵了墨西哥政府机构和一家金融机构。没有定制化恶意软件，没有零日漏洞利用，没有国家级基础设施。有的只是商业AI订阅和上千条精心设计的提示词。

Claude生成了网络扫描脚本，识别出暴露的管理面板，编写了针对 *.gov.mx 域名的SQL注入载荷，为缺乏速率限制的系统制作了凭证填充自动化工具，并绘制了机构间的横向移动路径。当Claude达到输出限制或拒绝某些请求时，攻击者便转向ChatGPT进行SMB枚举和“Living-off-the-Land”规避策略。结果：一个在几周内完成了以往需要一个团队数月协同工作才能完成的任务，窃取了1.95亿条纳税人记录、选民登记文件、员工凭证和民事登记文件。

这不是思想实验。它证明了AI压缩了攻击杀伤链。那些曾经需要深厚专业知识、定制化工具和持续操作时间的任务，现在可以被前沿模型分解并加速。

墨西哥入侵并非孤例。过去几个月，网络安全跨越了不止一个，而是多个临界点。首先，我们看到了首批经确认的AI编排网络攻击，自主代理以最少的人工干预执行了大部分入侵工作流。接着，攻击者开始大规模运用AI，使用Claude之类的模型入侵政府、窃取大型数据集、自动化漏洞利用开发。与此同时，AI系统本身也成了新的攻击面，一系列备受瞩目的泄露、漏洞和供应链故障暴露了其底层基础设施依然脆弱。这些并非孤立事件。它们共同标志着一个结构性转变：AI已经彻底改变了网络攻击的经济学。攻击者不再受技能、时间或成本的约束。

结构性问题

占据主导的安全态势验证模型——渗透测试，诞生于攻防双方都在人类时间尺度上行动的世界。一个团队接到一个限定范围的测试任务，花费固定的小时数，撰写报告，然后转向下一个。客户得到的是一个快照。下次测试可能在半年或一年后。

该模型如今在三个结构性方面已然失效。

• 目标覆盖时间约束。人力小时数限制了覆盖范围。攻击面的大部分区域因时间耗尽而未被触及。
• 技能分布不均。结果取决于恰好被分配的操作员是谁。知识被困在个体操作员手中，无法被编码进系统。
• 缺乏递归。发现、误报和竞争对手的差距并不能系统性地改善下一次测试。系统缺乏持久记忆。

要想理解为何传统模型会触到这个天花板，不妨看看对抗策略中的一个基础概念：约翰·博伊德的OODA循环。最初为军事战斗开发的OODA循环——观察、判断、决策、行动，已成为网络攻防双方如何做决策的标准模型。历史上，安全领域的终极目标仅仅是比对手更快地执行这个循环。虽然更快的OODA循环确实重要，但传统循环是扁平的——它只能给你速度。你可能迭代得更快，但你在结构上并未学习。Guard围绕一个更强的特性设计：系统应该在每个循环后都得到改进。

OODA在固定循环内优化速度。攻击螺旋则在跨循环中优化学习。

为什么是现在

时机成熟了。

• AI显著降低了进攻性实验的成本。
• 传统渗透测试仍然受限于人时和人员水平的波动。
• 漏洞发现的速度快于组织梳理和修复的速度。
• 采购方越来越需要持续验证，而非周期性评估。
• 安全团队被零散的工具产品过度装备，却缺乏经过验证的有效信号。

Guard的核心论点

传统“时间点”模型的每一个结构性弱点，都映射到Guard的一个特定设计选择：

| 时间点模型的问题 | Praetorian Guard的回应 | | — | — | | 时间限制的覆盖 | 跨越整个攻击面的持续、自动化测试 | | 依赖技能的质量 | 具备可重用操作员智能的标准化能力库 | | 缺乏跨任务学习 | 积累机构知识的攻击螺旋反馈循环 | | 即时快照式姿态 | 随环境变化而更新的动态攻击图 | | 手动报告交付与梳理 | 带有校准置信度并逐步增加自动化的流式发现 |

客户的成果是具体的：更多的覆盖、更高的一致性、对新威胁更快的行动化能力，以及一个随时间推移变得更好，而不是每次任务都从零开始的系统。

• 从偶发性可见度迁移到持续覆盖，提升防护能力。
• 比时间框定的渗透测试提供更广泛的攻击面覆盖。
• 比依赖特定人员的测试提供更一致的质量。
• 更快速地将新发布的威胁行动化。
• 通过校准置信度系统，随时间推移减少误报。
• 可直接用于修复的输出，而非静态报告。
• 在不牺牲防御覆盖的前提下，整合嘈杂的零散工具产品的路径。

攻击螺旋

正如我们在结构性问题部分讨论的，遗留渗透测试遵循扁平的OODA循环模式。但攻击螺旋引入了现代进攻性操作真正的倍增器。

OODA循环回到同一个平面。攻击螺旋向上攀升。我们称Guard的学习架构为“攻击螺旋”。

循环1：手动发现与能力差距检测

人工手动发现漏洞 -> 系统检查：Guard是否已能检测此类问题？   -> 若无：创建能力开发工单     -> 构建新的检测特征       -> 未来客户获得自动化覆盖

循环2：误报优化

Guard能力产生发现 -> Cato（客户安全工程师）或人工验证拒绝   -> 回溯至源特征和上下文     -> 收紧检测逻辑       -> 未来运行产生更少误报

循环3：竞争对手情报

竞争对手报告重要发现 -> Cato独立验证其有效性   -> Guard检查是否存在等效覆盖     -> 若无：构建缺失的能力

循环4：置信度评分与自动升级

在特征层面不断积累的梳理决策 -> 经验性真阳性率 + 模型置信度   -> 自动升级 / 人工审核 / 可能误报路由     -> 更多证据缩小人工审核范围

循环5：对抗性技术集成

外部攻击技术出现 -> 威胁报告、漏洞赏金分析、漏洞利用工具包、特定攻击者的TTP   -> Guard将技术解构为可执行逻辑     -> 攻击技术成为可重用的平台能力       -> 全球的攻击性产出成为平台的研发来源

循环6：智能体进化

智能体在某一能力类别的表现进入平台期 -> 进化循环在智能体策略间生成代码级变异 -> 变异后的智能体接受基准测试和生产目标评估 -> 优胜变体取代前一代 -> 该系统不仅学习更好的数据，也学习更好的方法。

这些循环彼此叠加：人工发现创造新能力；能力创造更多发现；发现创造更多梳理数据；梳理数据改善校准；校准增加自动化；对抗性技术扩展全局能力基线；自动化将专家解放出来去发现下一个差距。

螺旋最重要的特性是跨客户情报。在一个环境中发现的漏洞模式，可以成为保护未来面临相同暴露类别环境的防御能力。这不仅仅是流程改进。这是个飞轮。

螺旋指标

如果螺旋是真实的，它就应该是可测量的。最重要的运营指标包括：

• 从CVE发布到部署检测的时间
• 自动升级的发现与需要人工审核发现的百分比
• 按特征类别划分，误报随时间的减少
• 来自新生成能力的发现占比
• 跨客户能力部署的数量
• 从经验证的发现到修复建议的时间
• 转化为可执行能力的外部攻击技术占比

这些指标将螺旋从一个论点，变成一个操作系统。

迎技术之所向

正确的回应既不是将AI视为噱头而嗤之以鼻，也不是假装它已准备好完全取代人类操作员。而是设计一种架构，使其既能适应技术的现状，又能随着能力提升而逐步减少人为干预。

基础模型正日益商品化。持久的优势并非仅仅来自对模型的访问权。它来自于围绕模型的系统：编排、类型化接口、验证门、策略边界、反馈循环，以及编码在每个评估函数中的领域专业知识。

Guard被设计为一副外骨骼：一个今天能增强人类操作员，并随着置信度提高逐步接手各类工作的AI驱动系统。

• 级别1 – 自动化

  ：机器速度的侦察、资产清单扩展和基于模板的检测。

• 级别2 – 辅助自主

  ：高置信度自动升级并生成CVE到特征（需人工批准）。

• 级别3 – 监督自主

  ：自动化处理成熟的漏洞类别，人类专注于新型攻击研究。

• 级别4 – 协作自主

  ：更广泛的假设探索，人类担任战略指导和评估者。

人类没有被取代。他们正从重复性执行升级，走向更具前沿性的判断工作。

迎客户之所在

在企业软件领域，产品失败常常归结于时机问题。为未来构建得过早，市场会因其过于冒险而拒绝接受。为当下构建得过久，颠覆者会取代你。解决方案不是强迫市场跳跃，而是搭建一座桥梁。

我们清楚地知道冰球将滑向何方。进攻性安全的未来是持续的、AI驱动的、具备复利效应的。但客户不会同时迁移。这是一个典型的跨越市场鸿沟问题。组织的准备情况各不相同：

• 一些组织严格受合规框架约束，尚未准备好脱离传统的渗透测试。
• 另一些则认识到时间点评估的局限性，对技术赋能的持续验证持开放态度。
• 最后一个前卫的群体则已完全准备好在其防御态势之上部署自主AI。

Guard旨在接纳这一整个光谱。它在客户今天所处的位置与其对接，同时提供无缝过渡到我们知道明天必须实现的路径。

如果客户坚持要求传统的渗透测试，只要他们允许我们通过平台进行启动，我们就满足他们的要求。这就是以客户为中心的体现。随着他们对平台已验证信号的信任增加，以及对经济效益的理解加深，升级到持续测试的阻力会减小，向AI赋能的过渡会加速。

对付硬目标的两个引擎：马克森提乌斯和君士坦丁

已知漏洞（N-Day）是一个推理问题：CVE已经存在。挑战是迅速将其行动化并广泛部署检测能力。

零日漏洞（0-Day）是一个搜索与证明问题：代码库或环境中可能存在尚未被公布或命名的漏洞。挑战在于搜索、验证和证明。

马克森提乌斯：机器速度的已知漏洞处理

马克森提乌斯是Guard的N-Day引擎：一个多层次的智能体层级，将CVE转化为可部署的检测和利用上下文。

输出是经过测试、可部署到生产扫描中的Nuclei模板，以及反馈到攻击图中的漏洞利用生成与验证。从CVE发布到部署检测的时间是以分钟而非手工开发特征所需的数天或数周来衡量的。

君士坦丁：通过工具编排发现零日漏洞

君士坦丁在架构上与马克森提乌斯相反。马克森提乌斯是一个AI原生的推理流水线，而君士坦丁是一个工具编排流水线，AI是其间的粘合剂。

每个阶段运行一个或多个模块，这些模块是可以用任何语言编写的自包含程序。模块通过文件系统工件而非僵化的共享模式进行通信。这很关键，因为它允许静态分析、依赖分析、模糊测试、漏洞利用尝试和补丁生成共存，而不必被压缩到一个框架中。

君士坦丁包含了从全量预算跟踪与警告，到可选硬成本上限，再到两阶段成本估算门，以及覆盖流水线的18个模块。其中，智能体漏洞利用者运行在Docker-in-Docker沙箱中，每次尝试最多可进行250次工具调用。

最重要的是，它并不止步于检测。补丁阶段会生成修复方案，从依赖项升级到保护子句再到结构重构，产生客户可以审查和应用的文件差异。

马克森提乌斯和君士坦丁共同证明了Guard并非一个泛化的AI包装器。它是一个为正确问题使用正确架构的平台。

角斗场：智能体自身的进化

马克森提乌斯和君士坦丁是强大的引擎。但它们有一个共同的限制：它们的策略是由人类设计的。每一个推理步骤，每一个工具使用模式，每一个提示结构都反映了我们操作员所想构建的内容。这意味着它们的边界就是我们操作员所尝试的边界。在一个攻击力与算力成正比扩张的世界里，手工构建的天花板仍然是天花板。角斗场就是我们移除天花板的方式。

从静态智能体到进化智能体

角斗场是一个进化系统，能够跨世代自动重写智能体代码。它并非诊断特定故障并应用针对性补丁，而是让一群智能体变体在真实的评估目标上运行，保留有效的部分，淘汰无效的，并在自己的成功之上继续构建——发现没有任何人类明确编程的攻击策略。

该系统基于Hyperagents构建，这是一个用于开放式智能体进化的已发布框架。我们对其进行了分支，并增加了两个面向安全领域的评估域，以针对我们真正关心的问题对进化循环进行压力测试。

三个嵌套反馈循环

角斗场通过三个循环运作，一个比一个更深：

• 循环A – 任务智能体

  解决挑战。它接收一个目标和目标，然后实时推理、行动和适应。它的源代码是基因组——那个被进化的东西。在我们这里，它是一个探测易受攻击应用程序或针对语言模型制作对抗性提示的攻击智能体。

• 循环B – 元智能体

  重写任务智能体。每一代被评估后，元智能体读取结果并编辑智能体的代码库。它拥有不受限制的访问权限，因此可以改变提示、添加工具、重组推理逻辑，或抛弃整个策略从头开始。它不是修补漏洞，而是重写方法。

• 循环C – 元智能体重写自身

  。因为元智能体存在于同一个可编辑的代码库中，它可以修改自身的改进过程——如何分析结果、如何从存档中选择“父母”、如何决定下一步改变什么。这是元认知的自我修改：不仅在解决问题上改进，也在改进方式本身上改进。

超越识别风险：修复的迫切性

时间点测试的弱点不仅仅是发现不完全。还在于，即使组织知道暴露面存在，它们也常常无法在攻击者的时间尺度内修复。

这现在成了决定市场格局的不对称性。攻击者只需要一条可行的路径，并且越来越多地获得机器速度的协助来生成这些路径。防御者仍然必须去发现、验证、优先排序、分配和修复。真正的瓶颈不再是知晓，而是行动化。

这改变了获胜平台必须优化的方向。一个躺在仪表盘里的发现并非持久的价值。一个得到验证、优先排序、情境化并最终修复的发现才是价值。

为什么这是Praetorian

技术史上最伟大的产品——从Unix到早期的谷歌系统——几乎总是为了积极构建和使用它们的人的利益而设计的。

Guard也不例外。它不是在公司真空里梦想出来卖给理论上的客户的。它之所以被构建，是因为Praetorian作为一家精英进攻性安全公司运营了十多年后，触及了人力扩展的极限。我们需要一种方式来捕捉我们最佳操作员的知识，自动化他们的重复性任务，并放大他们的才智。我们为自己构建了Guard作为一副外骨骼。

我们既不是普通的软件工程师、普通的数据科学家，也不是安全顾问。我们是懂得如何构建企业解决方案的进攻性操作员。我们每天都在真实世界里“吃自己的狗粮”。我们的操作员利用平台来完成工作，反馈循环是即时的、严苛的，并且基于现实而非合成基准。因为我们构建产品的首要标准是满足我们自己的需求，所以我们清楚什么有效，什么无效，以及原因。正如我们清楚哪些防御控制有效，哪些无效，以及原因。因为我们就是攻击者。

我们的护城河不仅仅是数据。它是领域专业知识、对实际操作环境的评估、专家判断以及将这些输入转化为更强信号的正向提升系统这几者的结合。

闭环

市场已经改变。攻击力现在与算力成正比扩张。传统的渗透测试模型则不然。

在这种环境下的获胜平台，将不是仅仅扫描得更快的那个。它将是那个能够持续发现、验证、优先排序、学习和改进的平台。它将随着规模扩大而降低防护的边际成本。它将把一位客户的信号转化为未来更广泛的覆盖。它将构建的不仅仅是一个工具链，而是一个具备复利效应的系统。

那就是Guard正在追逐的机会。同一个引擎，既提升了Praetorian的进攻性基线，也为客户创造了获得更好信号、简化工作流程、减少工具蔓延并最终实现类别整合的路径。从这个意义上说，螺旋不仅仅是一个产品架构。它是一个点状产品类别终结者。

参考资料

[1] https://www.praetorian.com/blog/the-attack-helix-praetorian-guards-ai-architecture-for-offensive-security/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《攻击螺旋：Praetorian Guard 的进攻性安全 AI 架构》