[AI]Claude+Skills自动漏洞挖掘

admin 2026-07-15 05:26:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍利用ClaudeAI结合Skills工具实现自动化漏洞挖掘的方法。内容涵盖环境配置、安全审计技能安装,并以补天平台为例演示了自动化渗透流程,成功发现认证泄露漏洞。文章还提供了MCP接入Burp、多Agent协作等进阶方向,但后半部分主要为付费帮会及CTF课程推广。 综合评分: 65 文章分类: 渗透测试,代码审计,漏洞分析,红队,安全工具


cover_image

[AI]Claude + Skills 自动漏洞挖掘

Yhsec Yhsec

C4安全

2026年7月14日 10:10 江苏

在小说阅读器读本章

去阅读

CTF课程培训

扫码咨询

#

专注于漏洞挖掘、系统化从基础入门到实战漏洞挖掘,包含团队自整的挖掘注意点和案例、渗透经验、SRC漏洞案例、代码审计、挖洞思路等高价值资源。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有优惠券。

#

文章作者:NPE~

文章来源:https://blog.csdn.net/weixin_45565886/article/details/162495525

前置环境

Windows:

# 安装node.js
官方网址:https://nodejs.org/zh-cn

# 安装Claude Code,可以安装cli也可以直接安装桌面端
桌面端:https://code.claude.com/docs/zh-CN/desktop
Cli端:https://code.claude.com/docs/zh-CN/quickstart

相关Skills: 因为目标是渗透,所以必不可少需要代码审计以及渗透相关的Skills,来帮助模型学会某方面能力。

相关网站:https://skillsclaude.com/

# 安装安全审计技能
npx hermes-skills add security-sentinel

# 安装身份认证设计技能
npx hermes-skills add auth-architect

# 安装安全工程技能(我这里是全局安装会放在~/.agents/skills目录下)
npx skills add alirezarezvani/claude-skills --skill senior-security

# 其他各类渗透Skills
在上面的skill平台中查找安装

验证

补天实战

官方平台:https://www.butian.net/ 首先注册为白帽子,方便后续参加SRC提交漏洞。

在补天官网项目大厅找到对应目标企业,渗透其下可测资产即可。 地址:https://www.butian.net/Reward/plan/2 找到对应资产后,直接让AI帮我们渗透,最后出报告之后我们来进行验证。 需要注册AI渗透过程中,所有操作需在授权范围内进行,并遵守《网络安全法》等相关法律法规。所以需要给AI强制规范。

这里挑选了某个目标网站进行渗透 最终效果:直接扫描出某个网站认证泄露。 一般来说补天里不是头部的互联网厂商,所以给的金额不会特别高。如果想要挖头部厂商漏洞的,可以去对应企业官方漏洞平台

进阶方向

MCP 接入 Burp:让 Claude Code 通过 MCP 协议直接读取 Burp 历史请求,自动定位污点参数

多 Agent 协作:用 Agent 工具开多个子 Agent,一个跑 recon、一个跑审计、一个写报告,结果汇总

持久化经验库:每次挖洞完用 /remember 把新的漏洞模式存到 memory,下次自动复用

CI 化:把审计流程写成 GitHub Action,每天定时扫一遍自建监控的目标


内部CTF课程上线,总课程30+小时,优惠折扣中!

帮会简介

安全渗透感知》是FreeBuf知识大陆的重量级帮会,帮会致力于漏洞POC/EXP、红队攻防实战,是系统化从基础入门到实战漏洞挖掘的教程社区,包含团队自整的挖掘注意点和案例,还包含分享的渗透经验、SRC漏洞案例、代码审计、挖洞思路等高价值资源。

内容框架(持续新增中)

目前已有「700+」小伙伴加入了帮会

加入方式

目前帮会成员700+人,永久会员优惠后只需69.9元

随着人数的增加及资源的积累,之后永久会员将涨价至99元

有意向的师傅们可以扫码加入我们,共同进步。

如何加入帮会?→安卓/苹果用户可扫码使用优惠券↓↓

→ PC端用户可复制此链接到浏览器↓↓

https://wiki.freebuf.com/societyDetail?society_id=184


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:C4安全 Yhsec Yhsec《[AI]Claude + Skills 自动漏洞挖掘》

评论:0   参与:  0