T3MP3ST 深度解析:AI 编码 Agent 自主红队框架从侦察到漏洞定位的全链路实战
导语
2026 年 7 月 4-5 日,研究员 elder-plinius(AI 红队圈知名的"Pliny")开源发布了 T3MP3ST——一个多 Agent 协调层,将你已经在运行的 Claude Code、OpenAI Codex 或 Hermes 等 AI 编码助手直接转化为自主红队操作平台。
不需要新 API Key、不需要云基础设施、不需要额外计费。项目 slogan 极具冲击力:"Your AI coding agent is already a hacker — T3MP3ST hands it an arsenal."
几天内飙到 2,183+ GitHub Stars,成为本周最受关注的安全项目。更关键的是基准数据:XBEN 104 题挑战 90.1% pass@1、Cybench 40 题 23 题无提示破解、10 个真实 2026 CVE 中定位 8/10 的精确文件和行号。
本文将从架构设计、工具矩阵、攻击链流程、基准数据到防御策略,做一次全面技术拆解。
一、T3MP3ST 是什么
1.1 核心定位
T3MP3ST 不是自有模型,而是编排层。它不训练新的 AI,而是给已有的编码 Agent 配上一整套攻击性安全工具框架:
T3MP3ST 架构定位:
┌────────────────────────────────────────────────────┐
│ 你已有的 AI 编码 Agent │
│ ├── Claude Code(Anthropic) │
│ ├── OpenAI Codex │
│ ├── Hermes(开源) │
│ └── 任何支持工具调用的编码 Agent │
│ │
│ ↕ T3MP3ST 编排层 │
│ │
│ ├── 8 个操作角色映射(MITRE ATT&CK) │
│ ├── 35-83 件安全工具(标准/全武器库) │
│ ├── 基于Web的"作战室"界面 │
│ ├── CLI 命令行接口 │
│ ├── 作用域限定(防止越界攻击) │
│ └─────────────────────────────────────────────────── │
│ 目标系统 │
│ ├── Web 应用/API │
│ ├── CTF 题目 │
│ ├── 源代码(白盒审计) │
│ ├── 智能合约/DeFi │
│ └── 嵌入式/IoT/OT/SCADA │
└────────────────────────────────────────────────────┘1.2 设计哲学
- 无密钥作战:利用现有 Agent 会话,无需独立提供商密钥
- 作用域限定:联网工具自动拒绝触碰范围外的公共主机
- 可验证成绩:内置
npm run verify-claims命令,所有数据可从提交文件重新计算
二、架构设计深度解析
2.1 八操作角色体系
T3MP3ST 将 8 个操作环节映射到 MITRE ATT&CK 战术和网络杀伤链:
八角色体系:
┌──────────┬──────────────┬────────────────────────────────┐
│ 角色 │ ATT&CK 映射 │ 职责 │
├──────────┼──────────────┼────────────────────────────────┤
│ 侦察员 │ Reconnaissance│ 端口扫描、DNS枚举、指纹识别 │
│ 扫描器 │ Discovery │ 漏洞扫描、服务识别 │
│ 利用者 │ Exploitation │ 漏洞利用、PoC 执行 │
│ 渗透者 │ Initial Access │ 深入目标、横向移动 │
│ 外传者 │ Exfiltration │ 数据提取 │
│ 幽灵 │ Defense Evasion│ 隐蔽行动、痕迹清除 │
│ 协调员 │ Command & Ctrl│ 多Agent协调、任务分配 │
│ 分析师 │ Reporting │ 结果分析、报告生成 │
└──────────┴──────────────┴────────────────────────────────┘
注意:目前仅侦察引擎和单Agent利用循环完成基准测试且稳定运行
多Agent协调是架构级存在,但视为路线图特性而非已证明能力2.2 多 Agent 协调机制
作战室界面(War Room)架构:
┌──────────────────────────────────────────────────┐
│ War Room Web UI │
│ ├── Agent 实例管理面板 │
│ ├── 实时攻击进度可视化 │
│ ├── 工具调用日志流 │
│ ├── 发现汇总(漏洞/信息/建议) │
│ └───────────────────────────────────────────────── │
│ ↕ │
│ Agent 编排引擎 │
│ ├── 任务队列(Task Queue) │
│ ├── 角色分配器(Role Dispatcher) │
│ ├── 作用域守卫(Scope Guard) │
│ ├── 结果聚合器(Result Aggregator) │
│ └───────────────────────────────────────────────── │
│ ↕ │
│ AI 编码 Agent 实例 × N │
│ ├── Agent-1: 侦察任务 │
│ ├── Agent-2: 扫描任务 │
│ ├── Agent-3: 利用验证 │
│ └───────────────────────────────────────────────── │
│ ↕ │
│ 安全工具集 │
│ ├── nmap / nuclei / semgrep │
│ ├── ffuf / gobuster │
│ ├── curl / httpx │
│ └── ...(35-83件工具) │
└──────────────────────────────────────────────────┘2.3 作用域限定机制
这是 T3MP3ST 安全设计的核心——防止 Agent 越界攻击:
// 作用域限定伪代码
const SCOPE_GUARD = {
// 定义授权目标
allowedTargets: [
"target-app.example.com",
"192.168.1.100",
"staging.internal.corp"
],
// 拒绝范围外请求
validateTarget(target) {
for (const allowed of this.allowedTargets) {
if (target matches allowed) return true;
}
return false; // → "Scope violation: target not in authorized range"
},
// 自动过滤联网工具调用
interceptToolCall(tool, args) {
if (tool.requiresNetworkAccess) {
if (!this.validateTarget(args.host)) {
return { error: "OUT_OF_SCOPE", reason: "Host not in authorized targets" };
}
}
return { proceed: true };
}
};三、工具矩阵详解
3.1 标准工具包(35 件)
| 类别 | 工具 | 用途 |
|---|---|---|
| 侦察 | nmap | 端口扫描、服务指纹 |
| 侦察 | DNSrecon | DNS 枚举 |
| 侦察 | httpx | HTTP 探测 |
| 扫描 | nuclei | 基模板漏洞扫描 |
| 扫描 | semgrep | 静态代码分析 |
| 爆破 | ffuf | 目录/参数模糊测试 |
| 爆破 | gobuster | 目录枚举 |
| Web | curl | HTTP 请求构造 |
| Web | sqlmap | SQL 注入检测 |
| Web | nikto | Web 服务器扫描 |
| ... | ... | ... |
3.2 全武器库模式(83 件)
启用 T3MP3ST_FULL_ARSENAL 标志后,额外加载 48 个适配器:
# 启用全武器库
export T3MP3ST_FULL_ARSENAL=true
npm run war-room
# 全武器库包含(需人工审批门):
# - Metasploit Framework 适配器
# - Hydra 密码爆破
# - Post-exploitation 驱动
# - 内存注入工具
# - ...重要安全设计:全武器库模式的后渗透工具需要人工审批门——Agent 不能自主调用 Metasploit 等高危工具,必须等待人类确认。
3.3 Agent-工具交互模式
单Agent ReAct 循环(当前基准测试的主力模式):
┌──────────────────────────────────────────────────┐
│ Agent ReAct Loop │
│ │
│ 1. Reason(推理) │
│ → 分析当前状态,确定下一步行动 │
│ │
│ 2. Act(行动) │
│ → 调用工具执行操作 │
│ → nmap -sV target → 发现开放端口 │
│ │
│ 3. Observe(观察) │
│ → 解析工具输出,提取有用信息 │
│ → "Port 443: nginx/1.26, TLS, ..." │
│ │
│ 4. 重复 → 直到完成任务或达到限制 │
│ │
│ 5. Report(报告) │
│ → 汇总发现,生成结构化漏洞报告 │
└──────────────────────────────────────────────────┘四、基准数据深度分析
4.1 XBEN 挑战(104 题)
| 指标 | T3MP3ST | XBOW(商业工具) |
|---|---|---|
| pass@1 | 90.1% | ~85%(自报) |
| 涵盖范围 | Web应用/API/OWASP Top 10 | 类似 |
| 验证方式 | 提交 flag 验证 | 类似 |
关键点:90.1% vs 85%——开源框架超过知名商业工具的自报成绩。
4.2 Cybench CTF(40 题)
| 指标 | 数据 |
|---|---|
| 无提示破解 | 23/40 题(58%) |
| 模式 | 单 Agent ReAct 循环 |
| 题目类型 | 逆向、Web、智能合约 |
4.3 真实 CVE 定位(10 题)
这是最令人瞩目的数据:
10 个真实 2026 CVE 测试:
├── 涵盖 7 种编程语言
├── 所有 CVE 在模型训练截止日期之后(排除"背答案"嫌疑)
├── 单 Agent 精确定位 8/10:
│ ├── 正确的文件位置
│ ├── 正确的行号
│ ├── 正确的 CWE 分类
├── 全工具包识别 10/10
└── 结果可通过 verify-claims 命令独立复现为什么这很重要:这些漏洞在 AI 模型训练数据中不存在,Agent 必须真正理解和分析代码才能找到它们。这证明了 AI Agent 在漏洞发现上的真实能力,而非记忆训练数据。
五、实战使用指南
5.1 安装与启动
# 克隆项目
git clone https://github.com/elder-plinius/T3MP3ST.git
cd T3MP3ST
# 安装依赖
npm install
# 启动作战室(Web UI)
npm run war-room
# 或使用 CLI 模式
npm run cli -- --target "http://staging-app.example.com"
# 验证基准数据
npm run verify-claims5.2 配置目标范围
// scope.config.js
module.exports = {
// 授权目标(必须明确定义)
targets: [
{
host: "staging-app.example.com",
ports: [80, 443, 8080],
protocols: ["http", "https"],
description: "Staging environment for authorized testing"
},
{
host: "192.168.1.100",
ports: [22, 80, 3306],
description: "Internal test server"
}
],
// 禁止目标(黑名单)
forbidden: [
"production.example.com",
"*.prod.*",
"10.0.*" // 生产网段
],
// Agent 配置
agent: {
provider: "anthropic", // 或 "openai", "hermes"
model: "claude-sonnet-4",
maxIterations: 50,
timeoutMinutes: 30
}
};5.3 运行攻击链
# 完整攻击链
npm run attack -- \
--target "http://staging-app.example.com" \
--scope scope.config.js \
--mode recon-scan-exploit \
--output-format markdown
# 仅侦察模式(最安全)
npm run attack -- \
--target "http://staging-app.example.com" \
--mode recon-only \
--output-format json
# 白盒代码审计
npm run audit -- \
--source-path /path/to/project \
--language python \
--severity-threshold medium5.4 报告解读
# T3MP3ST Scan Report — staging-app.example.com
## Executive Summary
- Scan duration: 28 minutes
- Findings: 3 High, 5 Medium, 12 Low
- Attack surface: 4 open ports, 12 API endpoints
## Critical Findings
### Finding #1: SQL Injection in /api/users/search
- Severity: **CRITICAL** (CVSS 9.1)
- File: src/routes/users.py, line 47
- CWE: CWE-89 (SQL Injection)
- Evidence:
```http
GET /api/users/search?q=' OR 1=1--
→ Returned all 1,247 user records including hashed passwords- Remediation: Use parameterized queries
Finding #2: Authentication Bypass via JWT Algorithm Confusion
- Severity: HIGH (CVSS 8.1)
- ...
## 六、各领域支持状态
| 领域 | 状态 | 说明 |
|------|------|------|
| Web 应用(XBEN 套件) | **稳定** | 已基准测试,主力场景 |
| CTF 挑战(Cybench) | **稳定** | 已基准测试 |
| 嵌入式/OT/机器人 OSS | 流程稳定 | 协调披露中 |
| 源代码(白盒) | **实验性** | 仅支持 Python |
| 智能合约(DeFi) | **实验性** | 仅支持复现 |
| 云/移动/AD/二进制 RE | **路线图** | 开发中 |
## 七、安全与伦理边界
### 7.1 T3MP3ST 的安全设计安全架构: ┌──────────────────────────────────────────────────────┐ │ 第一层:作用域限定 │ │ ├── 所有联网工具调用经过 scope guard 检查 │ │ ├── 自动拒绝范围外公共主机 │ │ └──────────────────────────────────────────────────── │ │ 第二层:审批门 │ │ ├── 全武器库模式的后渗透工具需人工确认 │ │ ├── Metasploit/Hydra 等高危工具等待人类审批 │ │ └──────────────────────────────────────────────────── │ │ 第三层:可验证性 │ │ ├── verify-claims 命令可独立复现所有基准数据 │ │ ├── 消除虚假宣传的可能性 │ │ └──────────────────────────────────────────────────── │ │ 第四层:使用条款 │ │ ├── 仅限授权目标使用 │ │ ├── AGPL-3.0 许可证 │ │ └──────────────────────────────────────────────────── │ └──────────────────────────────────────────────────────┘
### 7.2 攻击者同样可用
安全防御专家 Sean Breeden 指出了一个关键问题:
> "The barriers are gone. Offensive security used to have a natural access barrier — expensive tooling, years of practice, and usually a team. That barrier is collapsing fast."
T3MP3ST 的民主化设计同样适用于攻击者——不需要新 API Key、不需要专业技能、不需要团队。这使得防御侧的紧迫性更高。
## 八、防御策略
### 8.1 针对每个攻击角色的防御防御映射: ┌──────────┬──────────────────────────────────────────────────┐ │ 攻击角色 │ 对应防御控制 │ ├──────────┼──────────────────────────────────────────────────┤ │ 侦察员 │ 减少暴露面:关闭不必要端口、配置防火墙 │ │ │ WAF 阻止扫描指纹请求 │ │ 扫描器 │ 定期自扫描:在攻击者扫描前先发现漏洞 │ │ │ nuclei 自扫描流水线 │ │ 利用者 │ 输入验证/输出编码/参数化查询 │ │ │ CSP/CORS 配置 │ │ 渗透者 │ 网络分段/零信任架构 │ │ │ 最小权限原则 │ │ 外传者 │ 数据分类/DLP 系统 │ │ │ 出站流量监控 │ │ 幽灵 │ 完整日志链/不可变日志 │ │ │ SIEM 实时告警 │ │ 协调员 │ 速率限制/行为分析 │ │ │ 异常 API 调用模式检测 │ │ 分析师 │ 研究报告本身不构成直接威胁 │ │ │ 但漏洞发现需及时修复 │ └──────────┴──────────────────────────────────────────────────┘
### 8.2 CI/CD 集成:红队自动化防御
```yaml
# GitHub Actions:自动 T3MP3ST 扫描
name: Security Agent Scan
on:
pull_request:
branches: [main]
jobs:
agent-scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Setup T3MP3ST
run: |
git clone https://github.com/elder-plinius/T3MP3ST.git
cd T3MP3ST && npm install
- name: White-box audit
run: |
cd T3MP3ST && npm run audit -- \
--source-path $GITHUB_WORKSPACE \
--language python \
--severity-threshold medium \
--output-format sarif \
--output-path results.sarif
- name: Upload SARIF
uses: github/codeql-action/upload-sarif@v3
with:
sarif_file: T3MP3ST/results.sarif8.3 长期防御建议
- 主动红队:用 T3MP3ST 在攻击者之前扫描自己的授权目标
- 减少攻击面:定期审计暴露的端口、API 和服务
- 输入验证标准化:所有用户输入必须经过严格验证
- 持续监控:SIEM + eBPF 实时异常检测
九、与同类工具对比
| 工具 | 类型 | 语言 | 多Agent | 基准数据 | 特点 |
|---|---|---|---|---|---|
| T3MP3ST | 编排层 | TS | ✅ 8角色 | XBEN 90.1% | 利用已有Agent,无密钥 |
| XBOW | 商业平台 | - | ❌ | ~85%自报 | 需付费订阅 |
| Strix | 开源框架 | Python | ✅ 多智能体 | 无公开基准 | AI渗透+自动报告 |
| LeoAI | 后渗透管理 | - | ❌ | 无 | AI驱动后渗透综合管理 |
| AutoRecon | 自动侦察 | Python | ❌ | 无 | 传统自动化侦察 |
T3MP3ST 的独特优势:利用已有编码Agent + 无密钥设计 + 可验证基准。
十、总结与展望
T3MP3ST 代表了 AI 安全工具的一个重要拐点:
- 门槛崩塌:以前需要昂贵工具+多年经验+专业团队,现在一个 API Key 就够了
- 能力验证:不是概念演示,而是有可复现的基准数据支撑
- 民主化双刃剑:红队和攻击者都受益于低门槛
- 多Agent路线图:当前单Agent是主力,多Agent协调是未来
给安全团队的建议:
- 立即用 T3MP3ST 对授权目标进行自扫描——在攻击者之前发现漏洞
- 建立自动化红队流水线,将 Agent 扫描集成到 CI/CD
- 关注多Agent协调能力的成熟化进展
- 持续减少攻击面——这是对抗任何自动化攻击工具的根本防御

