T3MP3ST 安全框架:35 个工具将 AI 编码 Agent 变为 0day 漏洞猎人

2026/07/06 sec T3MP3ST · AI Agent · 红队 · 漏洞挖掘 · 安全框架 · 开源工具 · 0day 2447 字 · 约 7 分钟 阅读 ...
研究员 Elder Plinius 发布开源框架 T3MP3ST(⭐2,791),通过 35 个内置工具将 Claude Code、Codex、Hermes 等 AI 编码 Agent 转化为自主红队平台。在 XBEN 套件上达到 90.1% pass@1,在 10 个训练截止日期后的真实 CVE 上准确命中 8/10 的文件/行号/CWE 分类。

一句话结论

T3MP3ST 是一个开源的自主红队框架(AGPL-3.0,⭐2,791),通过 35 个内置工具将已有的 AI 编码 Agent(Claude Code、Codex、Hermes)转化为 0day 漏洞猎人。它无需新 API 密钥、不依赖云基础设施,即可执行从侦察到利用到报告的完整杀伤链,在 XBEN 套件上达到 90.1% pass@1,并在训练截止日期后的真实 CVE 上实现 8/10 精确文件/行号/CWE 分类。这一项目展示了 AI Agent 在安全测试中的巨大正面潜力,同时也引发了对 Agent 生成的攻击代码可能被恶意使用的深刻担忧。

来源说明:原文 CyberSecurityNews URL 可访问。本文综合 CyberSecurityNews 报道及 GitHub 项目 README 成文。

项目概况

项目内容
名称T3MP3ST
作者Elder Plinius
仓库github.com/elder-plinius/T3MP3ST
许可证AGPL-3.0
创建时间2026-07-02
Stars⭐2,791(快速增长中)
核心概念你的 AI 编码 Agent 已经是黑客——T3MP3ST 为它配备了一个武器库

核心技术架构

8 操作员杀伤链

T3MP3ST 将任务映射到 MITRE ATT&CK 和 Cyber Kill Chain,由 8 个操作员(Operator)构成:

操作员阶段MITRE功能
Recon(侦察)侦察TA0043OSINT、网络发现、资产枚举
Scanner(扫描器)发现TA0007漏洞扫描、服务指纹识别
Exploiter(利用)初始访问TA0001漏洞利用、载荷投递
Infiltrator(渗透)横向移动TA0008后渗透、提权
Exfiltrator(窃取)收集/窃取TA0009/10数据提取、凭据收集
Ghost(幽灵)持久化TA0003持久化、隐蔽、清理
Coordinator(协调器)C2TA0011任务控制、编排
Analyst(分析师)报告发现归总、报告生成

当前状态:Recon 引擎是✅稳定的、有基准测试的。Exploiter 等下游操作员运行相同的工具驱动推理循环,但作为协调 swarm 尚未通过充分验证(⚠️实验性)。

“Keyless”设计

T3MP3ST 不提供自己的模型,而是利用用户机器上已有的 AI 编码 Agent 作为”大脑”:

  • 已有 Agent:Claude Code、Codex、Hermes
  • 离线模式:Ollama、LM Studio、vLLM
  • API 模式:OpenRouter、Anthropic、OpenAI、xAI(Grok Build)

“无新 API 密钥,无云租户,无第二张账单。你的 Agent 就是大脑,T3MP3ST 是围绕它搭建的战争机器。”

35 个内置工具

框架默认包含 35 个工具,启用 T3MP3ST_FULL_ARSENAL 后扩展至 83 个(含 Metasploit、Hydra 等后渗透驱动,置于人工审批门后)。所有工具数量可通过 verify-claims 命令从已提交的 JSON 重新计算验证。

基准测试结果

T3MP3ST 最大的特点是所有数字均可复现——npm run verify-claims 从已提交的 JSON 数据重新计算每项指标。

套件结果说明
XBEN(黑盒,104 挑战)90.1% pass@1XBOW 自称 85%;可复现的等级判决
XBEN(白盒,单独报告)98.7% pass@1,最佳 104/104不与黑盒数字混用
Cybench(40 任务,无提示)23/40 (58%)单次运行 pass@1,每个 flag 对照已提交的 Oracle 评分
CVE-Zero(10 个截止日期后 CVE)8/10 精确文件/行号/CWE防记忆/防过拟合:CVE 在训练截止日期之后,且从未用于优化提示词

CVE-Zero 的特殊意义

10 个 CVE 均为 2026 年披露的真实漏洞,覆盖 7 种编程语言:

  • 单 Agent 8/10 精确命中文件、行号和 CWE 分类
  • 完整工具包发现全部 10 个
  • 这些 CVE 在模型训练截止日期之后——排除了记忆效应
  • n=10,方向性证据

覆盖领域

领域状态
🕸️ Web 应用✅ 核心——XBEN 90.1%
📂 代码审计✅ 已证明——CVE-Zero 8/10
🚩 CTF✅ 已证明——Cybench 23/40
🤖 嵌入式/IoT/OT✅ CVE 流水线运行中
📦 供应链⚠️ 专项检测(CWE-829)
💰 智能合约⚠️ 仅复现,非原创发现
☁️ 🚧 开发中
📱 移动端🚧 开发中
🔐 二进制/逆向🚧 开发中

安全与道德设计

  1. 杀伤链范围限定(Egress-scope containment):内置网络工具自动拒绝目标/子域名范围之外的主机——SCOPE DENIED
  2. AGPL-3.0 许可证:无担保,作者不认可未经授权的使用
  3. 仅授权测试:明确声明仅限在拥有书面授权的系统上使用
  4. 真实性文化:README 中的每个数字都可以从已提交的数据重新计算→npm run verify-claims 全绿通过

双刃剑意义

“开源、无需密钥、可复现的自主攻击框架——这是安全研究员手中的利器,也是潜在攻击者工具箱中的新条目。”

正面:红队民主化

  • 将需要数年经验的安全测试能力,通过 Agent 编排推向更广泛的受众
  • 可复现的基准测试让团队能客观评估自己的安全测试能力
  • 协调披露流水线可加速漏洞发现和修复

负面:武器化风险

  • 35 个工具的任意组合均可被恶意使用
  • 无需专门的安全知识即可运行复杂攻击链路
  • 跨领域覆盖(Web、代码、嵌入式)扩大了潜在攻击面
  • 与同日的持久化状态攻击研究形成对照——Agent 可用于防御也可用于攻击

参考

文档信息