黑客将HexStrike AI武器化,10分钟内实现零日漏洞攻击|提示词注入攻击可使AI驱动的网络安全工具反噬自身
作者:微信文章2025 年 10 月 20 日,网络安全公司 Check Point 发布重要报告,原本用于企业防御、红队演练和漏洞赏金的开源 AI 渗透测试框架 HexStrike - AI,被黑客组织恶意改造为自动化攻击武器。该框架集成 150 + 安全工具与 12 个 AI 代理,能通过大语言模型(如 Claude、GPT)动态生成攻击策略,支持自动化漏洞扫描、攻击链构建等功能。
恶意分子迅速尝试将HexStrike AI武器化,讨论如何利用该工具攻击Citrix NetScaler零日漏洞,使防御工具沦为攻击引擎。Check Point研究人员观察到,在该工具发布后不久,暗网上就出现了相关讨论帖。
Check Point发布的报告指出:"在其发布数小时内,暗网聊天记录显示攻击者正尝试使用HexStrike-AI针对最近的零日漏洞(CVE),通过投放webshell实现未经认证的远程代码执行。这些漏洞本身复杂,需要高级技能才能利用。而借助Hextrike-AI,攻击者声称能将利用时间从数天缩短至10分钟以内。"
报告继续写道:"但几乎在发布后立即,恶意分子就开始讨论如何将其武器化。几小时内,某些地下渠道已探讨如何应用该框架来利用上周二(8月26日)披露的Citrix NetScaler ADC和网关零日漏洞。"
"这标志着一个关键时刻:本用于加强防御的工具据称已被快速改造成漏洞利用引擎,将早期概念具体化为一个可驱动真实攻击的广泛可用平台。"
来源:FreeBuf、中国黑客联盟
免责声明:我司尊重原创作者版权,除我司原创和无法确认作者外,我们将在文章末尾标注作者和来源。文章版权归原创作者所有,如转载涉及版权等问题,请与我们公众号联系删除,非常感谢。
页:
[1]