开源AI渗入测试工具Z3r0部署与使用
2026-07-03
因数据安全等6项违规,中国银行孝感市分行被罚436万元!
2026-07-03
w66利来参编|GA/T 2390-2026《信息安全技术 数据脱敏产品安全技术要求》正式执行
2026-07-01
工信部等八部门结合印发《关于推动工业互联网高质量发展的执行定见》
2026-07-01
《网络数据安全风险评估法子》沉点内容解读
2026-06-30
存储域
数据库加密 诺亚防勒索接见域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中央件运维服务 国产信创刷新服务 驻场运维服务 供数服务安全征询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理征询服务 数据分类分级征询服务 幼我信息风险评估服务 数据安全查抄服务1、HexStrike AI 介绍
HexStrike AI 是一个革命性的人为智能驱动的进攻性安全框架,它将专业安全工具与自主人为智能代理相结合,提供全面的安全测试能力。HexStrike AI基于多代理架构构建,利用智能决策、实时缝隙分析和先进的自动化技术彻底扭转安全专业人员处置渗入测试、缝隙赏金狩猎和 CTF 挑战的方式。HexStrike AI的工作道理是通过MCP与表部LLM进行人机交互,形成提醒、分析、执行和反馈的陆续循环。其工作示意图如下
2、HexStrike AI 本地搭建
HexStrike AI官方网站地址为
https://www.hexstrike.com/
其开源代码库地址为
https://github.com/0x4m4/hexstrike-ai
能够从上述网站中获得HexStrike AI文档、代码信息以及有关最新资讯。
hexstrike MCPs Server依赖于python环境,所以在操作系统方面有很好的扩大性,支持Windows/Linux/Mac等主流操作系统。但是由于HexStrike AI性质上还是必要挪用系统上已有的渗入测试工具来实现自动化渗入,所以推荐将hexstrike MCPs Server装置在Kali Linux中,Kali Linux自带了极度多的安全工具,这样能够免去一些装置渗入测试工具的繁琐操作。
首先装置kali,从https://www.kali.org/下载镜像装置即可
执行如下号令,拉取HexStrike AI源代码仓库
git clonehttps://github.com/0x4m4/hexstrike-ai.git
cd hexstrike-ai

而后执行如下号令,创建一个python虚构环境并激活,hexstrike MCPs Server会运行在这个虚构环境中
python3 -m venv hexstrike-env
source hexstrike-env/bin/activate

装置hexstrike MCPs Server所必要的依赖,装置过程中可能会由于网络问题或依赖版本问题出现报错,依照报错提醒解决即可
pip3 install -r requirements.txt

最后运行hexstrike_server.py剧本,实现hexstrike MCPs服务端的搭建启动工作
python3 hexstrike_server.py
启动成功后会得到一个MCP服务的衔接地址,客户端必要这个地址进行挪用

接下来进行客户端的装置和配置
官方文档中显示支持5ire、VS Code Copilot、Cursor、Claude Desktop等具备MCP agent能力的客户端
这里使用HexStrike AI官方演示视频中的5ire作为MCP客户端
https://github.com/nanbingxyz/5ire
下载对应系统的装置包文件即可,必要把稳的是5ire客户端必要依赖Python、Node.js、uv环境,必要事先进行装置
启动装置好后的5ire客户端如下图所示
配置一下大模型服务商,这里使用的是depseek的大模型,填写自己的api密钥
而后起头配置工具,重要就是配置号令这一项,必要配置客户端python的绝对蹊径、hexstrike_mcp.py的绝对蹊径以及上述MCP服务端地址,具体号令示例如下
C:\Users\hkn\AppData\Local\Programs\Python\Python311\python.exe C:\tools\hexstrike\hexstrike_mcp.py --serverhttp://192.168.150.33:8888

配置好后开启该工具即可

至此,hexstrike MCPs Server以及MCP客户端已经全数配置实现。
3、HexStrike AI 自动化渗入测试
在5ire中新建一个对话,输入想要执行的渗入测试工作,好比,“助我对192.168.51.66进行常见的1000端口扫描”
查看MCP server中的日志,发显熹执行了nmap -sV -p 1-1000 192.168.51.66号令来实现扫描工作
当然若是5ire不是你常用的客户端,也能够集成在如Trae等客户端中进行使用,好比在Trae中配置hexstrike智能体并让其自动化对DVWA靶场进行渗入测试
配置文件内容形如
{
"mcpServers": {
"hexstrike-ai": {
"command": "C:\\Users\\hkn\\AppData\\Local\\Programs\\Python\\Python311\\python.exe",
"args": [
"C:\\tools\\hexstrike\\hexstrike_mcp.py",
"--server",
"http://192.168.150.33:8888"
]
}
}
}

提醒词为“请对http://192.168.30.168/login.php 系统进行渗入测试”,自动化渗入实现后会天生一个markdown体式的汇报
4、总 结
从上面的自动化渗入测试了局能够看出,HexStrike AI其实就是大模型自动挪用安全工具来实现渗入测试,挪用工具的方式是号令行,仅限于一些支持号令行的安全测试工具,因而比力适合实现一些基础的渗入测试工作,如靶场操练、预设了局的攻防演练、内部日常扫描等。但是涉及到一些进阶的渗入测试工作,好比使用图形化工具、测试逻辑缝隙等,HexStrike AI还临时不具备这方面的能力。