CyberStrikeAI 工具被黑客用于 AI 驱动的攻击
发布: (2026年3月3日 GMT+8 08:06)
5 分钟阅读
Source: Bleeping Computer
图片:AI 辅助的黑客行动
背景
- 先前的泄露 – 上个月,BleepingComputer 报道了一起 AI 辅助的黑客行动,在五周内危及了 >500 台 FortiGate 设备。该活动使用了多台服务器,包括位于
212.11.64[.]250的网页服务器【source】。 - 新报告 – 在后续帖子中,Team Cymru 的高级威胁情报顾问 Will Thomas(又名 BushidoToken) 观察到相同的 IP 地址正在运行 CyberStrikeAI 平台【source】。
如何检测到 CyberStrikeAI
- NetFlow 分析显示在
212.11.64[.]250的 8080 端口 上出现了 “CyberStrikeAI” 服务横幅。 - 观察到该 IP 与受攻击的 FortiGate 设备之间的网络流量。
- 基础设施最后一次运行 CyberStrikeAI 的时间是 2026 年 1 月 30 日。
CyberStrikeAI 概述
- GitHub repository: (link not provided in source)
- 描述为 “用 Go 构建的 AI 原生安全测试平台”。
- 集成 100+ 安全工具、智能编排引擎、预定义安全角色和技能系统。
“通过原生 MCP 协议和 AI 代理,它实现了从对话指令到漏洞发现、攻击链分析、知识检索和结果可视化的端到端自动化——为安全团队提供可审计、可追溯且协作的测试环境。” – 项目描述
核心特性
| 功能 | 详情 |
|---|---|
| AI 决策引擎 | 支持 GPT、Claude 和 DeepSeek 等模型 |
| Web UI | 密码保护、审计日志、SQLite 持久化 |
| 仪表盘 | 漏洞管理、任务编排、攻击链可视化 |
| 工具链 | - 网络扫描:nmap、masscan- Web/应用测试: sqlmap、nikto、gobuster- 利用: metasploit、pwntools- 密码破解: hashcat、john- 后利用: mimikatz、bloodhound、impacket |
| 自动化 | AI 代理 + 编排器使低技能操作员能够发起完整的攻击链 |
观察到的部署
- 21 个唯一 IP 在 2026 年 1 月 20 日 – 2 月 26 日 运行 CyberStrikeAI。
- 主要托管地点:中国、新加坡、香港;其他节点位于 美国、日本和欧洲。
“随着对手日益采用 AI 原生编排引擎,我们预计对易受攻击的边缘设备的自动化、AI 驱动的攻击将会增加,这类似于对 Fortinet FortiGate 设备的观察到的侦察和定位。” – Will Thomas
开发者简介: Ed1s0nZ
- 别名: Ed1s0nZ
- 其他工具:
- PrivHunterAI – AI 驱动的特权提升漏洞检测。
- InfiltrateX – 特权提升扫描框架。
- 隶属关系:
- 与 中国政府关联的网络行动 组织有互动。
- 与 Knownsec 404 的 “Starlink Project”(一家被指与国家有联系的中国网络安全公司)共享 CyberStrikeAI。
- 奖项: 在 GitHub 上提及获得 “CNNVD 2024 Vulnerability Reward Program – Level 2 Contribution Award”(后被删除)。
- 语言: 仓库主要使用中文编写,表明其为中文使用者。
影响
- 降低进入门槛: AI‑native 编排引擎如 CyberStrikeAI 使得即使是低技能的行为者也能够自动化复杂的攻击链。
- 边缘设备风险: 对暴露的防火墙、VPN 设备以及其他边缘设备的自动化攻击可能会增加。
- 未来威胁: 类似工具(例如 PrivHunterAI、InfiltrateX)可能进一步加速 AI 驱动的利用。
相关报告
- FortiGate 违规 (BleepingComputer)
- Team Cymru 分析
- Google Gemini 滥用
图片:红色报告图形
Red Report 2026: Why Ransomware Encryption Dropped 38%
恶意软件正变得越来越智能。Red Report 2026 揭示了新型威胁如何利用数学方法检测沙盒并隐藏于明处。
Download 我们对 110 万恶意样本的分析,揭示前 10 大技术,并查看您的安全体系是否已失明。