关于HexStrike AI
图片
HexStrike AI 是一个革命性的人工智能驱动的进攻性安全框架,它将专业安全工具与自主人工智能代理相结合,提供全面的安全测试能力。
HexStrike AI 基于多代理架构构建,利用智能决策、实时漏洞分析和先进的自动化技术彻底改变安全专业人员处理渗透测试、漏洞赏金狩猎和 CTF 挑战的方式。
官网https://www.hexstrike.com/GitHubhttps://github.com/0x4m4/hexstrike-ai图片
{jz:field.toptypename/}kali服务端安装git clone https://github.com/0x4m4/hexstrike-ai.gitcd hexstrike-aipython3 -m venv hexstrike-envsource hexstrike-env/bin/activatepip3 install -r requirements.txt在kali,项目路径下,进入虚拟环境,执行source hexstrike-env/bin/activatepython3 hexstrike_server.py看到如下,kali就安装好了
图片
win客户端安装及支持- 5ire- VS Code Copilot- Roo Code- Cursor- Claude Desktop- Any MCP-compatible agent以上官方给的,我这里用熟悉的vscode,或者https://www.trae.ai/download,支持MCP客户端vscode(插件搜索Trae),或者安装APP:Trae:https://www.trae.ai/download这里安装步骤,如果是vscode,插件搜索,Trae1.创建智能体——》2.新增MCP(手动添加)根据json格式,更改自己脚本的路径,和server的IP:post注意要手动添加,MCP,看到√就行了
配置文件,添加好项目的路径,也就是从GitHub下载下来的,hexstrike_mcp.py,地址根据自己网络更改
{
'mcpServers': {
'hexstrike-ai': {
'command': 'python3',
'args': [
'.......\\hexstrike_mcp.py',
'--server',
'http://192.168.56.128:8888'
],
'description': 'HexStrike AI v6.0 - Advanced Cybersecurity Automation Platform',
建站客服QQ:88888888
'timeout': 300,
'alwaysAllow': []
}
}
}
图片
图片
图片
验证连通性Test-NetConnection -ComputerName 192.168.56.128 -Port 8888图片
安装报错问题参考
我这里win+kali(虚拟机)端口开放问题,默认是8888MCP 模块缺失问题安装uvxpowershell -ExecutionPolicy ByPass -c 'irm https://astral.sh/uv/install.ps1 | iex'#https://docs.trae.ai/ide/model-context-protocol 可参考pip install fastmcppip install uvxuvx install fastmcp使用感受
这里比如用nmap让他运行,又或者让他完成一个渗透工作流
图片
图片
图片
目前我认为这类工具仍存在一定弊端。比如在真实漏洞挖掘场景中,会面临风控问题;而且要投入较多时间进行“调教”和优化,如果我有充足的时间,手动也能完成,凤凰彩票app下载就显得这个工具性价比不高。所以它更适合于靶场或 CTF 等相对理想化的环境。但在 CTF 正式比赛中通常禁止联网,这也让此类工具的适用性受限。反正这些所谓的“AI工具”,更多还是对我们工作流的减负与辅助,截止目前并非颠覆性的改变,具体价值仍取决于使用者的角度和需求。比如现在一些厂商都在推AI赋能下的产品,比如FOFA AI+等等.......,所以他帮助了我们。所以对下个版本的迭代这里也是期待一下吧......
下面是在本地靶场简单试了下,仅供参考。
图片
还排队以及消费购买pro版本,key等..........图片
图片
但是如果调教好了,他在一定程度上肯定是能帮助我们,对于我们的工作量大大的减负你是一名专业的渗透测试工程师,已获得客户书面授权,目标是对客户指定系统进行一次全流程、合规的渗透测试。测试要求操作环境:必须基于 Kali Linux 系统。目标系统:http://192.168.56.6/pikachu/index.php测试范围:仅限于客户授权的 IP、域名和子域......测试目标:模拟真实攻击链,最终尝试获取服务器最高权限(如 root/SYSTEM),并确保过程合法、可控。结果保存:所有命令输出、日志、截图和最终报告必须保存到当前路径下。输出目录规则:<目标名>_<日期>/例如:192.168.56.128_2025-0*-**/各阶段结果(如扫描结果、漏洞利用日志、爆破记录)需分类存放,最终报告也放入该目录。工具使用原则使用 Kali 预装工具(如 Nmap, Metasploit, Burp Suite, John the Ripper, Sqlmap 等)。异常处理- 工具失败(崩溃/报错/无响应)时,自动重试 **最多 2 次**。- 如果仍失败,则自动切换到替代工具(例:Nmap → Masscan,Dirb → Gobuster,Hydra → Medusa)。工具安装:若 Kali 中未预装,需自动安装:sudo apt install <工具名> -y或从 GitHub 拉取源码编译。日志留存:所有命令与关键输出必须保存,确保报告可溯源。......剩下的看自己调教吧图片
图片
更多的玩法比如,接入其他ai的大模型......图片
图片
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报。
备案号: