一、引言:AI黑客的崛起
近期,AI黑客公司XBOW宣布其正式登上了全球最大的漏洞赏金平台HackerOne的2025年美国区黑客排行榜第一名,并获得7500万美元的新融资。媒体们称这是现实世界第一次AI黑客在与人类黑客的竞争中取得重大胜利。
近一年多来朱雀实验室基于AI Agent构建的蓝军Bot也在内部安全演习中持续发光发热,与XBOW等面向公开漏洞赏金平台的AI黑客不同,我们的目标是解决企业安全攻防实战中的核心矛盾:如何在有限的蓝军专家资源下,高效、高质量地完成日益繁重的业务安全演习。本文结合朱雀实验室对XBOW的剖析,分享了我们在利用AI Agent提升安全演习效率上的迭代思路、实践成果与未来规划。目前我们正在持续招聘中,欢迎对AI安全攻防与AI赋能安全感兴趣的安全研究员加入。
二、 XBOW剖析:登顶HackerOne背后的技术亮点与质疑
XBOW于2024年1月创立,核心团队来自GitHub在2019年收购的代码漏洞检测公司Semmle,曾发布过 CodeQL 、GitHub Copilot等明星产品。XBOW主打的是AI驱动的自主渗透测试,也就是让AI像人类黑客一样发现并利用系统安全漏洞,最终成功渗透企业内部网络。
在2025年上半年,XBOW通过HackerOne累计报告了1000多个漏洞,其中包含迪士尼、亚马逊、索尼等知名厂商,漏洞类型包含XSS、SQL注入、RCE、XXE、路径遍历、SSRF、信息泄露、缓存中毒、密钥泄露等。最终成功登顶HackerOne美国区第1,全球排名第12,吊打一众职业挖洞的黑客。
虽然XBOW以技术机密为由,一直没有公开产品的技术原理或开放产品体验,但结合官网发布了多个漏洞案例与公开信息,我们尝试还原了XBOW的一些核心技术架构与能力。
总的来说XBOW更像是在成熟的静态代码审计和动态安全验证体系上构建的一个黑客智能体,让AI通过执行命令和调用工具来完成渗透流程的关键环节,在XSS这类有着非常明确的漏洞模式的场景上效果不错,但在越权等业务逻辑漏洞场景表现并不佳,当前并没有达到官方宣称的100%AI自主渗透,甚至还有一定的刷分与AI含量注水嫌疑,但相比当前的人类安全专家XBOW可7*24小时并行运转,在效率上有非常大的提升,对企业安全团队来说是仍然一个非常有参考价值的学习案例。
2.1 静态与动态分析融合的攻击面感知
XBOW架构的核心是多模态信息融合,构建了一个能同时处理代码、网络和文件系统数据的统一分析框架。在静态分析维度,系统集成了源代码解析器和二进制反编译器,以深入理解应用的技术栈和潜在攻击面。
如上图 自动反编译Jar包,通过grep快速定位与提取潜在的API代码。
此外动态测试引擎的核心是一个自适应请求生成器,能根据目标应用的响应动态调整测试Payload。而连接静态与动态分析的关键是知识图谱推理引擎,它将代码中发现的潜在漏洞与动态可访问的端点关联起来,形成完整的攻击路径。
如上图 XBOW可通过HTTP响应内容推断后端框架,或从错误信息中提取版本细节。
2.2 基于漏洞模式与利用技术的安全知识库
支撑XBOW决策的是其领域专用知识库,该知识库结构化地存储了安全漏洞知识,包括漏洞类型特征库、攻击技术方法库和防御机制绕过策略库。其中攻击技术库详细记录了各类漏洞的Payload生成规则,最具创新性的是防御机制绕过策略库,它存储了针对waf与常见安全过滤与检测策略的突破方法。
如上图所示案例 (CVE-2024-52598): 在开源项目2FAuth中,XBOW发现一个潜在SSRF漏洞,但目标接口要求请求头MIME类型为image/svg且请求路径后缀为svg文件,在多次请求失败后,XBOW通过知识库中的PHP URL解析混淆技术,在内网链接后添加?type=image/svg+xml%23.svg。利用PHP解析时会忽略#后内容的特性,成功绕过MIME验证,读取到内网文件。
2.3 通过强化学习决策实现自主探索与策略优化
官方称XBOW的自主性源于其深度强化学习(DRL)决策框架。该框架将漏洞发现过程建模为马尔可夫决策过程(MDP),通过与环境交互不断优化其测试策略。在复杂的漏洞测试中,这种学习机制表现为多阶段攻击链的构建能力,系统能根据中间结果动态调整探索方向,优先测试成功率更高的路径。
如上图案例 (CVE-2025-0133): 在测试Palo Alto某VPN应用时,某API返回了<has-config>no</has-config>,多数黑客可能会就此放弃认为是一个普通的请求配置文件接口。但XBOW推理认为,VPN服务常在HTTP请求中携带额外参数。于是,它自主构建了一个包含潜在参数(如prelogin-cookie)和XSS Payload的测试脚本,通过fuzzing最终发现portal-prelogonuserauthcookie参数存在XSS漏洞。对人类专家而言,这需要更长的思考和编码验证时间。
2.4 XBOW的“刷分”与自主性疑问
尽管XBOW展现了强大的自动化能力,朱雀实验室在深入分析后还是发现其在真实场景的应用效果和“AI自主性”还存在诸多疑点。
目前XBOW在HackerOne的美国黑客排行榜第1,全球排行榜第12,但是我们分析发现,XBOW很巧妙的利用了一些平台的规则漏洞。Hackerone项目分BBP(有赏金)和VDP(类似于公益SRC,没有赏金)两大类,BBP的项目在白帽子中竞争是非常激烈的,而VDP的参与人数寥寥无几,Hackerone计算总排行榜时是将这两类项目合并计算,实际XBOW主要刷的还是VDP项目(全球第2),而非难度与奖金更高的BBP(全球第36)。
其次,XBOW在2025年获得的5542个声誉积分(截止7月4号,后同)中,有3035个声誉积分(约55%)是XSS漏洞贡献的(其中VDP占2024积分),这类漏洞在国内SRC中通常评级为中低危漏洞,且使用传统扫描器也能批量挖掘。所以我们认为XBOW的超高XSS漏洞占比产出背后其实也有一定的刷分嫌疑。
此外XBOW在身份认证不当(如越权)、未授权访问、不安全配置等业务逻辑强相关的风险类别中均未进入50名,这些传统漏洞扫描器难以全面检测与准确评估危害等级的风险,正常应该是AI有机会做出差异化并大展拳脚,XBOW却表现不佳,所以我们也推测XBOW的"AI含量“可能存在注水。XBOW的创始人Oege de Moor也曾公开承认过XBOW在这方面的不足,但对于企业安全团队来说这些业务逻辑漏洞往往是需要重点挖掘的。
与此同时我们也留意到了技术社区对XBOW提出了一些尖锐且关键的质疑,而这些问题至今未得到官方解答。
例如,有网友直接问道:“XBOW团队究竟需要人工审查多少个漏洞,才能提交出那大约1000个‘有效’的报告?”以及“这些被审查的漏洞中,最终被证实为真实漏洞的百分比是多少?” 。这些关于误报和人工审核工作量的问题,是评估XBOW真实自主性和运营成本的关键。
朱雀实验室在XBOW官方公开的一份粗略的HackerOne提交数据图表中看到,在2025年XBOW的1060份漏洞报告中,有453份被hackerone标记为“重复(有人报过了厂商还没修复)”、“信息性(危害过低)”或“不适用(无法复现)” ,这部分实际不被厂商认可的报告占总数的43%。此外仅有130个漏洞已确认并发放奖金,303个漏洞已验证成功但厂商还未完成所有处置流程,有33个漏洞被标记为新报告处理中,125个漏洞提交后待厂商处理。这些数据代表着XBOW可能生成了海量低质量(无效、无实际危害、重复)漏洞报告,在实际场景中可能需要大量安全专家配合进行二次验证分析。
三、朱雀实践:蓝军Bot提效演习的迭代之路
对于大部分企业的安全蓝军团队来说,日益增长的业务安全演习需求与有限的安全专家人力供给一直是最大矛盾之一,特别是在2025年各家的大模型与AI Agent相关产品规模化落地之后,AI软件供应链与MCP Server等安全问题成为了快速上升的新型风险,企业安全蓝军往往要同时肩负通过实战演习提前暴露安全风险盲区与前沿安全技术研究的任务,为了解决这些问题,朱雀实验室基于蓝军Bot提效安全演习做了多轮迭代与实践。
3.1 蓝军Bot 1.0:从纯人工到自动巡检的3倍效率提升
在2024年初,我们探索了基于Langchain+混元大模型+蓝军武器库构建了蓝军Bot 1.0,并实战应用于内网风险巡检场景。蓝军Bot 1.0使用了基于工作流的单Agent架构,专注解决内网海量Web资产扫描结果分析难题(如未授权访问、敏感文件泄露),通过大模型语义理解替代人工筛选, 精准定位高风险点,实战相比人工测试要提效3倍以上。
3.2 蓝军Bot 2.0:复杂漏洞挖掘场景下的5倍效率提升
在2025年初,随着DeepSeek、Qwen及混元等开源大模型能力的提升与多Agent框架的成熟,我们对蓝军Bot又进行了升级迭代,蓝军Bot 2.0增加了Multi AI Agent驱动的复杂漏洞检测能力,来解决安全演习场景中的传统人工挖掘业务系统代码漏洞效率过低问题。
实战测试在Python、NodeJS、Go等常见Web业务系统与开源组件代码漏洞挖掘中,蓝军Bot相比传统人工审计有5倍以上的效率提升,辅助发现了英传达Nemo、ComfyUI、vLLM等多个AI框架远程代码执行漏洞(例如:《朱雀实验室协助vLLM修复CVSS 9.8分严重漏洞》)。
目前除了安全演习,蓝军Bot 2.0也已实战落地于A.I.G(AI-Infra-Guard)的MCP Server安全检测场景,并在Github开源后已获得1.4K Star。详见《为了检测MCP安全风险,我们开发了一个AI Agent》。
A.I.G的MCP安全检测智能体的核心架构与XBOW非常类似,具备智能攻击面分析、静态代码分析、动态网络扫描等感知与多步思考能力,同时构建了一套漏洞模式知识库,让AI快速对MCP工具投毒、Rug pulls等新型风险的定义与检测方法有深度认知,从而自主智能完成MCP安全检测任务。
3.3 蓝军Bot 3.0:自主渗透下的安全演习新范式
当前正在研发的蓝军Bot3.0重点是构建持续自主渗透智能体,目标是实现7x24小时自动化挖掘与验证业务系统的常见简单漏洞,并在人类专家指导下辅助复杂业务漏洞测试,追求演习范式的革新与效率的进一步提升。朱雀实验室认为,目前大模型幻觉、缺乏安全漏洞知识等问题随着大模型的快速迭代已经得到非常大的缓解,推理算力成本的快速下降,也让海量Token消耗不再是无解的成本问题。
核心挑战在于优化利用好大模型的有限上下文窗口(“运行内存”)。渗透测试要求连贯的多步推理(目标系统信息、测试历史和阶段性结论)、信息降噪(海量代码、网络请求与扫描数据)、无缝工具集成及稳定可靠的长期运行。
为了解决这个问题,我们正通过“上下文工程”来构建多Agent场景下的不同模型最佳输入:在系统指令(角色、任务)、当前分析内容(关键代码/响应包)、历史对话(精炼后的上下文总结)、集成安全工具/漏洞知识和长期记忆(不执行危险操作等安全策略限制)之间进行智能动态调整,最大化有限资源的高效利用。
四、未来展望:从周期性演习到持续性验证
朱雀实验室认为,当前AI与顶尖安全专家的核心差距,在于能否理解复杂的业务逻辑、能否进行跳跃性的攻击链联想。就像XBOW在基础Web漏洞上所向披靡,但在需要深度业务理解的逻辑漏洞上依然乏力,目前阶段还没有看到真正的自主渗透AI黑客出现。
不过我们从企业安全团队实战角度看,AI Agent的首要问题不是立刻实现100%自主渗透这一目标,而是利用其7x24小时的自动化能力,将人类安全专家从海量的、重复的基础漏洞挖掘中彻底解放出来。
● AI Agent负责广度:高效、持续地扫描已知攻击模式,完成基础性、大范围的覆盖。
● 安全专家聚焦深度:专注于处理AI筛选出的高价值情报,致力于业务逻辑、0-day漏洞及创新攻击手法的研究。
这种人机协同的新模式下,安全演习将从“周期性人工项目”演进为“AI驱动的持续性验证”,帮助企业安全团队更高效的提前收敛业务风险与防御体系盲区。
五、 加入我们:共建AI安全新防线
从XBOW登顶到朱雀蓝军Bot的实践,我们看到的并非是AI对人类安全专家的替代,而是AI作为工具的不断进化,从而实现效率的。实现这一愿景,需要持续的努力与更多新生力量汇聚。朱雀实验室诚邀对AI安全攻防与AI赋能安全有热情的安全研究员加入!
欢迎加入我们
●岗位职责
1. 负责公司重点业务的红蓝演习、渗透测试与漏洞挖掘,帮助业务与防守团队提前收敛安全风险与盲区,持续提升安全水位;
2. 研究大模型与AI Agent等领域前沿安全攻防技术,并探索落地应用与业务赋能,提升团队在业界的技术影响力。
●岗位要求
1. 本科及以上学历,计算机、网络安全与人工智能相关专业;
2. 熟悉常见Web漏洞或二进制漏洞原理与利用方法,有AI Agent、开源AI框架组件或Linux内核漏洞挖掘经验,并能够通过AI赋能提升漏洞发现效率与产出;
3. 关注业界新技术,对安全攻防有较高的兴趣,具备良好的沟通与协作能力,能够有效提升业务对漏洞影响的感知;
4. 在AI或安全类顶会发表过论文、演讲,在知名CTF比赛有获奖,知名安全开源项目开发等经历者优先;
欢迎大家自荐与推荐,社招与校招皆可,投递邮箱:zhuque[AT]tencent.com。