CAI (Cybersecurity AI)
1.简介
CAI是一个开源、轻量的安全智能体框架,用于构建面向安全场景的专用 AI 智能体,帮助开展侦察、漏洞发现、利用、提权与取证等实战任务,强调模块化与研究导向红、蓝队、ctf选手、安全工程师等群体,目标是在“人机协作”前提下,保留人类监督作为安全控制,实施全自动化渗透测试,让 AI 在安全测试中达到接近或具备人类竞争力的水平,同时保持透明、可审计与可控。
CAI 在 CTF 基准测试中的表现始终优于最先进的结果,能够显著提高解决各种类别挑战的效率——在高达3600个任务上比人类更快,在特定任务上平均速度为人类的 11倍。CAI 在“AI vs Human” CTF 现场挑战赛中斩获 AI 团队第一名,并跻身全球前 20 名,获得 750 美元奖励。除了网络安全竞赛之外,CAI 还展现了其在现实世界中的有效性,在一周内就进入了西班牙排名前 30 名,并在 Hack The Box 上跻身全球排名前 500 名,同时显著降低了安全测试成本,平均降低了 156%。
2.关键特性
300+ AI模型:支持OpenAI、Anthropic、DeepSeek、Ollama等多个模型。
内置安全工具:提供即用的工具,便于进行侦查、利用和权限提升。
经过实战检验:在HackTheBox CTF、漏洞悬赏和现实世界的安全案例中验证其有效性。
基于代理的架构:模块化设计框架,可为不同安全任务构建专用代理。
防护护栏:内置防御机制,对抗提示注入和危险命令执行。
以研究为导向:旨在为社区普及网络安全AI的研究基础。
3.CAI整体架构,设计思想
CAI 的核心是专门的网络安全代理通过明确定义的交互模式协同工作的概念。
该架构的人机接口层(Human Interface Layer)强调通过HITL和Turns组件进行人机协作,这两个组件管理交互流并使安全专业人员能够在必要时进行干预。
这里,交互是指代理之间的顺序交换,其中每个代理通过推理步骤(LLM 推理)执行其逻辑,然后使用工具执行操作,而Turns表示一个或多个交互的完整循环,当代理确定不需要进一步操作或人工干预时结束。
代理合作层(Agent Coordin Layer)说明了代理如何利用LLM进行推理,同时利用模式和交接来协调复杂的安全工作流程。
执行层(Execution Layer)展示了工具如何提供具体的功能,例如命令执行、Web 搜索、代码操作和安全隧道——这些都是实际安全测试的基本功能。
3.1人机交互层(Human Interface Layer)
HITL(Human-in-the-Loop)
这是人工在环机制,表示人类可随时干预、暂停、修改 AI 的行为。确保 AI 不会在无监督情况下执行危险命令。
Turns(回合控制)
管理每个 agent 的“推理—执行—反馈”周期。每一轮任务由多个回合组成,系统通过回合控制协调执行顺序与人类输入
3.2智能体协调层(Agent Coordination Layer)
Patterns(模式)
定义多个 agent 的协作策略与流程结构,例如“任务链式协作”“分层任务分配”“递归式问题求解”等。
HITL 的输入可以调整这些模式(编号①)。
Handoffs(交接)
负责 agent 之间的任务衔接。一个 agent 完成阶段性任务后,通过 handoff 将上下文交给下一个 agent。
Patterns 和 Handoffs 相互作用(编号②)。
Agents(智能体)
这是 CAI 的核心执行单元。不同 agent 负责不同的安全任务:信息收集、漏洞扫描、利用、验证、报告生成等。
Handoffs 的输出会触发具体的 agent 执行任务(编号③)
LLMs(大型语言模型)
Agent 的“思维引擎”。CAI 允许接入不同厂商 / 模型(如 Claude、GPT-4o、Gemini、DeepSeek 等),为 agent 提供理解与推理能力(编号④)
3.3执行层(Execution Layer)
Tools(工具)
Agent 执行具体操作的接口,例如命令执行、端口扫描、代码分析、SSH、漏洞验证等。
Agent 调用 Tools 来落地实际动作(编号⑤)。
Tracing(追踪 / 日志)
记录每个 agent 的决策过程、工具调用、交互日志,用于可观测性、调试和安全审计(编号⑥、⑦)。
例如:记录 agent 在何时调用了哪个工具、返回了什么结果。
Extensions(扩展模块)
用户自定义的插件系统,可扩展工具集、接口或安全策略。Extensions 的行为也被追踪记录(编号⑧)
4.核心能力
维度 | 能力 | 实战亮点 |
AI 智能代理 | OpenAI / Claude / DeepSeek 全兼容,自主决策工具链 | 支持多轮对话,自己改策略 |
MCP 万能插槽 | 内置 100+ 安全工具,支持外部 MCP 服务器热插拔 | 工具即插即用,AI 无缝调用 |
杀招级工具库 | nmap、sqlmap、nuclei、msf、hashcat、volatility … | 一条命令全激活 |
攻击链可视化 | 自动生成交互式攻击图谱,节点含风险评分 | 老板一眼看懂入侵路径 |
大结果分页 | 200 KB 自动落盘,支持 grep/head/tail 在线分段读 | 再大报告也不卡前端 |
统一鉴权 | Web + API + MCP 三合一,会话过期可配,密码自动生成 | 团队共享不裸奔 |
双传输模式 | HTTP(远程共享) / stdio(本地高隔离)自由切换 | Cursor / Claude Desktop 即插即用 |
流式 SSE | 实时输出工具 stdout,像看本地终端一样爽 | 前端进度条实时滚动 |
5.工具100+,全攻击链覆盖
工具类别 | 代表工具 | 核心能力/适用场景 | 备注 |
网络扫描 | nmap、masscan、rustscan、arp-scan、nbtscan | 端口探测、服务识别、OS指纹探测、局域网ARP/NetBIOS扫描 | 端口+服务+OS 扫描三件套,兼顾速度与精度 |
Web应用扫描 | sqlmap、nikto、dirb、gobuster、feroxbuster、ffuf、httpx | 常规Web漏洞检测、目录/路径爆破、HTTP信息探测、存活验证 | 覆盖Web基础扫描全场景,多级并发爆破隐藏目录 |
Web漏洞专项 | nuclei、wpscan、wafw00f、dalfox、xsser | CVE漏洞模板秒扫、WP建站程序专项扫描、WAF识别、XSS/注入专项探测 | SQLi、XSS等常见Web漏洞精准检测 |
子域名枚举 | subfinder、amass、findomain、dnsenum、fierce | 多源子域收集、DNS解析探测、横向资产挖掘 | 横向资产梳理核心工具,一把梭式枚举 |
网络空间搜索 | fofa_search、zoomeye_search | 基于网络空间搜索引擎的资产检索、目标信息收集 | 快速定位全网关联资产 |
API安全 | graphql-scanner、arjun、api-fuzzer、api-schema-analyzer | GraphQL/REST API探测、接口模糊测试、API架构分析 | 针对API接口的专项安全检测 |
容器安全 | trivy、clair、docker-bench-security、kube-bench、kube-hunter | 容器镜像漏洞扫描、Docker/K8s配置合规核查、容器集群风险探测 | 镜像漏洞+容器编排平台配置全核查 |
云安全 | prowler、scout-suite、cloudmapper、pacu、terrascan、checkov | 云厂商(AWS/阿里云等)资产梳理、配置漏洞检测、IaC代码安全扫描 | 覆盖云原生全栈安全检测,含基础设施即代码审计 |
二进制分析 | gdb、radare2、ghidra、objdump、strings、binwalk | 二进制文件反编译、调试、字符串提取、固件逆向分析 | 逆向工程、固件安全分析核心工具 |
漏洞利用 | metasploit、msfvenom、pwntools、ropper、ropgadget | 漏洞利用模块调用、恶意载荷生成、ROP链构造、漏洞EXP开发 | 渗透测试漏洞利用核心工具集 |
密码破解 | hashcat、john、hashpump | 哈希值破解、密码字典攻击、哈希长度扩展攻击 | 多算法支持,兼顾速度与兼容性 |
取证分析 | volatility、volatility3、foremost、steghide、exiftool | 内存取证分析、文件恢复、隐写术检测、图片/文件元信息提取 | 数字取证、CTF取证场景专用 |
后渗透 | linpeas、winpeas、mimikatz、bloodhound、impacket、responder | 提权信息枚举(Linux/Windows)、凭证窃取、AD域攻击路径分析、中间人欺骗 | 提权、凭证收集、域渗透全环节覆盖 |
CTF专用 | stegsolve、zsteg、hash-identifier、fcrackzip、pdfcrack、cyberchef | 隐写分析、哈希类型识别、压缩包/PDF密码破解、多功能编码/解密 | CTF全场景实用工具,一站式解决编码/隐写/破解问题 |
系统辅助 | exec、create-file、delete-file、list-files、modify-file | 系统命令执行、文件增删改查 | 安全沙箱内执行,兼顾操作灵活性与环境隔离 |
6.为什么要人机交互
CAI 提供了一个构建网络安全 AI 的框架,重点强调半自主操作,同时承认全自动网络安全系统仍为时过早,在处理复杂任务时面临重大挑战。虽然 CAI 探索了自主能力,但我们的结果清楚地表明,有效的安全操作仍然需要人类遥控,在安全过程中提供专业知识、判断和监督。因此,人机回路 ( HITL ) 模块不仅仅是一个功能,而且是 CAI 设计理念的重要基石。我们在不同挑战类别中的基准测试结果一致表明,在战略要点上的人为判断和干预可显著提高成功率并缩短解决时间,特别是对于复杂的加密和逆向工程挑战。通过命令行界面,用户只需按Ctrl+C即可在执行期间的任何时间点与代理无缝交互。此功能在核心执行引擎抽象中实现,在整个安全测试过程中提供灵活的人工监督。我们的 LLM 性能比较分析进一步验证了 HITL 的重要性 ,这表明,即使是最先进的模型,在处理复杂的安全场景时,也能从及时的人工指导中受益匪浅。
7.CAI的三种应用场景
CAI有三种代理模式,每个代理都使用相似的核心工具架构,但其目标和方法均根据其特定的安全角色进行定制(在代码中,三种模型对应三个代理程序)。三种模式分别为:
1.红队代理专注于攻击性安全:
目标:获取root 权限,聚集渗透测试。
关键能力:网络枚举,服务破解,提权。
2.漏洞赏金猎人专注于 Web 应用程序漏洞发现:
目标:寻找漏洞,聚焦:Web 应用安全。
关键能力:资产发现,漏洞评估,负责任的披露。
3.蓝队代理专注于防御性安全:
目标:保护系统,聚焦:防御和监控
主要能力:网络监控,漏洞评估,事件响应。
与人类测试结果的比较
在CTF中与人类的两种比较(红队代理模式,图中多少X,表示AI速度是人类的多少倍)
1.按类别比较:
按难度比较
两个图清晰的表达:在大部分场景下,AI效率远大于人类。
还有一个有趣的发现,对各模型在渗透上能力的比较,感觉这个数据是靠谱的。
kali OS上部署CAI
# 克隆仓库(可选,也可直接 pip 安装)
git clone https://github.com/aliasrobotics/cai && cd cai# 创建虚拟环境(推荐)
python3 -m venv cai_env source cai_env/bin/activate# 安装框架(支持 PyPI)
pip install cai-framework# 生成配置文件
cat > .env << EOF OPENAI_API_KEY="sk-xxxxxx" OPENAI_API_BASE="http://xxxx:9998/v1" ANTHROPIC_API_KEY="" OLLAMA="" PROMPT_TOOLKIT_NO_CPR=1 CAI_STREAM=false CAI_MODEL="openai/qwen3-32b" CAI_GUARDRAILS=true EOF启动CAI
激活虚拟环境
source cai_env/bin/activate cai成功启动画面
)
