Announcement

👇Official Account👇

Welcome to join the group & private message

Article first/tail QR code

Skip to content

T3MP3ST 深度解析:AI 编码 Agent 自主红队框架从侦察到漏洞定位的全链路实战

导语

2026 年 7 月 4-5 日,研究员 elder-plinius(AI 红队圈知名的"Pliny")开源发布了 T3MP3ST——一个多 Agent 协调层,将你已经在运行的 Claude Code、OpenAI Codex 或 Hermes 等 AI 编码助手直接转化为自主红队操作平台。

不需要新 API Key、不需要云基础设施、不需要额外计费。项目 slogan 极具冲击力:"Your AI coding agent is already a hacker — T3MP3ST hands it an arsenal."

几天内飙到 2,183+ GitHub Stars,成为本周最受关注的安全项目。更关键的是基准数据:XBEN 104 题挑战 90.1% pass@1、Cybench 40 题 23 题无提示破解、10 个真实 2026 CVE 中定位 8/10 的精确文件和行号

本文将从架构设计、工具矩阵、攻击链流程、基准数据到防御策略,做一次全面技术拆解。

一、T3MP3ST 是什么

1.1 核心定位

T3MP3ST 不是自有模型,而是编排层。它不训练新的 AI,而是给已有的编码 Agent 配上一整套攻击性安全工具框架:

T3MP3ST 架构定位:
┌────────────────────────────────────────────────────┐
│ 你已有的 AI 编码 Agent                               │
│ ├── Claude Code(Anthropic)                        │
│ ├── OpenAI Codex                                   │
│ ├── Hermes(开源)                                  │
│ └── 任何支持工具调用的编码 Agent                     │
│                                                      │
│     ↕ T3MP3ST 编排层                                │
│                                                      │
│ ├── 8 个操作角色映射(MITRE ATT&CK)               │
│ ├── 35-83 件安全工具(标准/全武器库)              │
│ ├── 基于Web的"作战室"界面                          │
│ ├── CLI 命令行接口                                  │
│ ├── 作用域限定(防止越界攻击)                      │
│ └─────────────────────────────────────────────────── │
│ 目标系统                                            │
│ ├── Web 应用/API                                    │
│ ├── CTF 题目                                        │
│ ├── 源代码(白盒审计)                              │
│ ├── 智能合约/DeFi                                   │
│ └── 嵌入式/IoT/OT/SCADA                            │
└────────────────────────────────────────────────────┘

1.2 设计哲学

  • 无密钥作战:利用现有 Agent 会话,无需独立提供商密钥
  • 作用域限定:联网工具自动拒绝触碰范围外的公共主机
  • 可验证成绩:内置 npm run verify-claims 命令,所有数据可从提交文件重新计算

二、架构设计深度解析

2.1 八操作角色体系

T3MP3ST 将 8 个操作环节映射到 MITRE ATT&CK 战术和网络杀伤链:

八角色体系:
┌──────────┬──────────────┬────────────────────────────────┐
│ 角色     │ ATT&CK 映射  │ 职责                           │
├──────────┼──────────────┼────────────────────────────────┤
│ 侦察员   │ Reconnaissance│ 端口扫描、DNS枚举、指纹识别    │
│ 扫描器   │ Discovery     │ 漏洞扫描、服务识别             │
│ 利用者   │ Exploitation  │ 漏洞利用、PoC 执行             │
│ 渗透者   │ Initial Access │ 深入目标、横向移动             │
│ 外传者   │ Exfiltration  │ 数据提取                       │
│ 幽灵     │ Defense Evasion│ 隐蔽行动、痕迹清除           │
│ 协调员   │ Command & Ctrl│ 多Agent协调、任务分配         │
│ 分析师   │ Reporting     │ 结果分析、报告生成             │
└──────────┴──────────────┴────────────────────────────────┘

注意:目前仅侦察引擎和单Agent利用循环完成基准测试且稳定运行
多Agent协调是架构级存在,但视为路线图特性而非已证明能力

2.2 多 Agent 协调机制

作战室界面(War Room)架构:
┌──────────────────────────────────────────────────┐
│ War Room Web UI                                   │
│ ├── Agent 实例管理面板                            │
│ ├── 实时攻击进度可视化                            │
│ ├── 工具调用日志流                                │
│ ├── 发现汇总(漏洞/信息/建议)                   │
│ └───────────────────────────────────────────────── │
│     ↕                                             │
│ Agent 编排引擎                                    │
│ ├── 任务队列(Task Queue)                        │
│ ├── 角色分配器(Role Dispatcher)                 │
│ ├── 作用域守卫(Scope Guard)                     │
│ ├── 结果聚合器(Result Aggregator)               │
│ └───────────────────────────────────────────────── │
│     ↕                                             │
│ AI 编码 Agent 实例 × N                            │
│ ├── Agent-1: 侦察任务                             │
│ ├── Agent-2: 扫描任务                             │
│ ├── Agent-3: 利用验证                             │
│ └───────────────────────────────────────────────── │
│     ↕                                             │
│ 安全工具集                                        │
│ ├── nmap / nuclei / semgrep                       │
│ ├── ffuf / gobuster                               │
│ ├── curl / httpx                                  │
│ └── ...(35-83件工具)                            │
└──────────────────────────────────────────────────┘

2.3 作用域限定机制

这是 T3MP3ST 安全设计的核心——防止 Agent 越界攻击:

javascript
// 作用域限定伪代码
const SCOPE_GUARD = {
  // 定义授权目标
  allowedTargets: [
    "target-app.example.com",
    "192.168.1.100",
    "staging.internal.corp"
  ],

  // 拒绝范围外请求
  validateTarget(target) {
    for (const allowed of this.allowedTargets) {
      if (target matches allowed) return true;
    }
    return false; // → "Scope violation: target not in authorized range"
  },

  // 自动过滤联网工具调用
  interceptToolCall(tool, args) {
    if (tool.requiresNetworkAccess) {
      if (!this.validateTarget(args.host)) {
        return { error: "OUT_OF_SCOPE", reason: "Host not in authorized targets" };
      }
    }
    return { proceed: true };
  }
};

三、工具矩阵详解

3.1 标准工具包(35 件)

类别工具用途
侦察nmap端口扫描、服务指纹
侦察DNSreconDNS 枚举
侦察httpxHTTP 探测
扫描nuclei基模板漏洞扫描
扫描semgrep静态代码分析
爆破ffuf目录/参数模糊测试
爆破gobuster目录枚举
WebcurlHTTP 请求构造
WebsqlmapSQL 注入检测
WebniktoWeb 服务器扫描
.........

3.2 全武器库模式(83 件)

启用 T3MP3ST_FULL_ARSENAL 标志后,额外加载 48 个适配器:

bash
# 启用全武器库
export T3MP3ST_FULL_ARSENAL=true
npm run war-room

# 全武器库包含(需人工审批门):
# - Metasploit Framework 适配器
# - Hydra 密码爆破
# - Post-exploitation 驱动
# - 内存注入工具
# - ...

重要安全设计:全武器库模式的后渗透工具需要人工审批门——Agent 不能自主调用 Metasploit 等高危工具,必须等待人类确认。

3.3 Agent-工具交互模式

单Agent ReAct 循环(当前基准测试的主力模式):
┌──────────────────────────────────────────────────┐
│ Agent ReAct Loop                                  │
│                                                    │
│ 1. Reason(推理)                                 │
│    → 分析当前状态,确定下一步行动                 │
│                                                    │
│ 2. Act(行动)                                    │
│    → 调用工具执行操作                             │
│    → nmap -sV target → 发现开放端口               │
│                                                    │
│ 3. Observe(观察)                                │
│    → 解析工具输出,提取有用信息                   │
│    → "Port 443: nginx/1.26, TLS, ..."             │
│                                                    │
│ 4. 重复 → 直到完成任务或达到限制                  │
│                                                    │
│ 5. Report(报告)                                 │
│    → 汇总发现,生成结构化漏洞报告                 │
└──────────────────────────────────────────────────┘

四、基准数据深度分析

4.1 XBEN 挑战(104 题)

指标T3MP3STXBOW(商业工具)
pass@190.1%~85%(自报)
涵盖范围Web应用/API/OWASP Top 10类似
验证方式提交 flag 验证类似

关键点:90.1% vs 85%——开源框架超过知名商业工具的自报成绩。

4.2 Cybench CTF(40 题)

指标数据
无提示破解23/40 题(58%)
模式单 Agent ReAct 循环
题目类型逆向、Web、智能合约

4.3 真实 CVE 定位(10 题)

这是最令人瞩目的数据:

10 个真实 2026 CVE 测试:
├── 涵盖 7 种编程语言
├── 所有 CVE 在模型训练截止日期之后(排除"背答案"嫌疑)
├── 单 Agent 精确定位 8/10:
│   ├── 正确的文件位置
│   ├── 正确的行号
│   ├── 正确的 CWE 分类
├── 全工具包识别 10/10
└── 结果可通过 verify-claims 命令独立复现

为什么这很重要:这些漏洞在 AI 模型训练数据中不存在,Agent 必须真正理解和分析代码才能找到它们。这证明了 AI Agent 在漏洞发现上的真实能力,而非记忆训练数据。

五、实战使用指南

5.1 安装与启动

bash
# 克隆项目
git clone https://github.com/elder-plinius/T3MP3ST.git
cd T3MP3ST

# 安装依赖
npm install

# 启动作战室(Web UI)
npm run war-room

# 或使用 CLI 模式
npm run cli -- --target "http://staging-app.example.com"

# 验证基准数据
npm run verify-claims

5.2 配置目标范围

javascript
// scope.config.js
module.exports = {
  // 授权目标(必须明确定义)
  targets: [
    {
      host: "staging-app.example.com",
      ports: [80, 443, 8080],
      protocols: ["http", "https"],
      description: "Staging environment for authorized testing"
    },
    {
      host: "192.168.1.100",
      ports: [22, 80, 3306],
      description: "Internal test server"
    }
  ],

  // 禁止目标(黑名单)
  forbidden: [
    "production.example.com",
    "*.prod.*",
    "10.0.*"  // 生产网段
  ],

  // Agent 配置
  agent: {
    provider: "anthropic",  // 或 "openai", "hermes"
    model: "claude-sonnet-4",
    maxIterations: 50,
    timeoutMinutes: 30
  }
};

5.3 运行攻击链

bash
# 完整攻击链
npm run attack -- \
  --target "http://staging-app.example.com" \
  --scope scope.config.js \
  --mode recon-scan-exploit \
  --output-format markdown

# 仅侦察模式(最安全)
npm run attack -- \
  --target "http://staging-app.example.com" \
  --mode recon-only \
  --output-format json

# 白盒代码审计
npm run audit -- \
  --source-path /path/to/project \
  --language python \
  --severity-threshold medium

5.4 报告解读

markdown
# T3MP3ST Scan Report — staging-app.example.com

## Executive Summary
- Scan duration: 28 minutes
- Findings: 3 High, 5 Medium, 12 Low
- Attack surface: 4 open ports, 12 API endpoints

## Critical Findings

### Finding #1: SQL Injection in /api/users/search
- Severity: **CRITICAL** (CVSS 9.1)
- File: src/routes/users.py, line 47
- CWE: CWE-89 (SQL Injection)
- Evidence:
  ```http
  GET /api/users/search?q=' OR 1=1--
  → Returned all 1,247 user records including hashed passwords
  • Remediation: Use parameterized queries

Finding #2: Authentication Bypass via JWT Algorithm Confusion

  • Severity: HIGH (CVSS 8.1)
  • ...

## 六、各领域支持状态

| 领域 | 状态 | 说明 |
|------|------|------|
| Web 应用(XBEN 套件) | **稳定** | 已基准测试,主力场景 |
| CTF 挑战(Cybench) | **稳定** | 已基准测试 |
| 嵌入式/OT/机器人 OSS | 流程稳定 | 协调披露中 |
| 源代码(白盒) | **实验性** | 仅支持 Python |
| 智能合约(DeFi) | **实验性** | 仅支持复现 |
| 云/移动/AD/二进制 RE | **路线图** | 开发中 |

## 七、安全与伦理边界

### 7.1 T3MP3ST 的安全设计

安全架构: ┌──────────────────────────────────────────────────────┐ │ 第一层:作用域限定 │ │ ├── 所有联网工具调用经过 scope guard 检查 │ │ ├── 自动拒绝范围外公共主机 │ │ └──────────────────────────────────────────────────── │ │ 第二层:审批门 │ │ ├── 全武器库模式的后渗透工具需人工确认 │ │ ├── Metasploit/Hydra 等高危工具等待人类审批 │ │ └──────────────────────────────────────────────────── │ │ 第三层:可验证性 │ │ ├── verify-claims 命令可独立复现所有基准数据 │ │ ├── 消除虚假宣传的可能性 │ │ └──────────────────────────────────────────────────── │ │ 第四层:使用条款 │ │ ├── 仅限授权目标使用 │ │ ├── AGPL-3.0 许可证 │ │ └──────────────────────────────────────────────────── │ └──────────────────────────────────────────────────────┘


### 7.2 攻击者同样可用

安全防御专家 Sean Breeden 指出了一个关键问题:

> "The barriers are gone. Offensive security used to have a natural access barrier — expensive tooling, years of practice, and usually a team. That barrier is collapsing fast."

T3MP3ST 的民主化设计同样适用于攻击者——不需要新 API Key、不需要专业技能、不需要团队。这使得防御侧的紧迫性更高。

## 八、防御策略

### 8.1 针对每个攻击角色的防御

防御映射: ┌──────────┬──────────────────────────────────────────────────┐ │ 攻击角色 │ 对应防御控制 │ ├──────────┼──────────────────────────────────────────────────┤ │ 侦察员 │ 减少暴露面:关闭不必要端口、配置防火墙 │ │ │ WAF 阻止扫描指纹请求 │ │ 扫描器 │ 定期自扫描:在攻击者扫描前先发现漏洞 │ │ │ nuclei 自扫描流水线 │ │ 利用者 │ 输入验证/输出编码/参数化查询 │ │ │ CSP/CORS 配置 │ │ 渗透者 │ 网络分段/零信任架构 │ │ │ 最小权限原则 │ │ 外传者 │ 数据分类/DLP 系统 │ │ │ 出站流量监控 │ │ 幽灵 │ 完整日志链/不可变日志 │ │ │ SIEM 实时告警 │ │ 协调员 │ 速率限制/行为分析 │ │ │ 异常 API 调用模式检测 │ │ 分析师 │ 研究报告本身不构成直接威胁 │ │ │ 但漏洞发现需及时修复 │ └──────────┴──────────────────────────────────────────────────┘


### 8.2 CI/CD 集成:红队自动化防御

```yaml
# GitHub Actions:自动 T3MP3ST 扫描
name: Security Agent Scan
on:
  pull_request:
    branches: [main]

jobs:
  agent-scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Setup T3MP3ST
        run: |
          git clone https://github.com/elder-plinius/T3MP3ST.git
          cd T3MP3ST && npm install
      - name: White-box audit
        run: |
          cd T3MP3ST && npm run audit -- \
            --source-path $GITHUB_WORKSPACE \
            --language python \
            --severity-threshold medium \
            --output-format sarif \
            --output-path results.sarif
      - name: Upload SARIF
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: T3MP3ST/results.sarif

8.3 长期防御建议

  1. 主动红队:用 T3MP3ST 在攻击者之前扫描自己的授权目标
  2. 减少攻击面:定期审计暴露的端口、API 和服务
  3. 输入验证标准化:所有用户输入必须经过严格验证
  4. 持续监控:SIEM + eBPF 实时异常检测

九、与同类工具对比

工具类型语言多Agent基准数据特点
T3MP3ST编排层TS✅ 8角色XBEN 90.1%利用已有Agent,无密钥
XBOW商业平台-~85%自报需付费订阅
Strix开源框架Python✅ 多智能体无公开基准AI渗透+自动报告
LeoAI后渗透管理-AI驱动后渗透综合管理
AutoRecon自动侦察Python传统自动化侦察

T3MP3ST 的独特优势:利用已有编码Agent + 无密钥设计 + 可验证基准

十、总结与展望

T3MP3ST 代表了 AI 安全工具的一个重要拐点:

  1. 门槛崩塌:以前需要昂贵工具+多年经验+专业团队,现在一个 API Key 就够了
  2. 能力验证:不是概念演示,而是有可复现的基准数据支撑
  3. 民主化双刃剑:红队和攻击者都受益于低门槛
  4. 多Agent路线图:当前单Agent是主力,多Agent协调是未来

给安全团队的建议

  • 立即用 T3MP3ST 对授权目标进行自扫描——在攻击者之前发现漏洞
  • 建立自动化红队流水线,将 Agent 扫描集成到 CI/CD
  • 关注多Agent协调能力的成熟化进展
  • 持续减少攻击面——这是对抗任何自动化攻击工具的根本防御

参考资料

上次更新于: