Decepticon: 강화된 샌드박스 내에서 전문적인 공격 체인 및 킬 체인을 실행하는 자율형 레드팀 에이전트
Decepticon: 강화된 샌드박스 내에서 전문적인 공격 체인 및 킬 체인을 실행하는 자율형 레드팀 에이전트
해결하는 문제
Decepticon은 단순한 취약점 스캐닝을 넘어설 수 있도록 설계된 자율형 레드팀 에이전트입니다. 이 에이전트는 정찰, 익스플로잇, 권한 상승, 측면 이동을 포함한 복잡하고 현실적인 공격 체인을 자동화하며, MITRE ATT&CK 프레임워크에 매핑된 교전 규칙(RoE) 및 작전 계획(OPPLAN)과 같은 전문적인 참여 표준을 준수합니다.
작동 방식
이 시스템은 관리 평면(오케스트레이션, LLM 및 데이터베이스)을 샌드박스 평면(공격이 실행되는 곳)으로부터 격리하기 위해 이중 네트워크 아키텍처를 사용합니다. 킬 체인 단계별로 구성된 16명의 전문가 에이전트 팀을 활용하며, 각 에이전트는 노이즈를 최소화하기 위해 새로운 컨텍스트 창을 가집니다.
주요 기술적 특징은 다음과 같습니다:
- Interactive Shell Support: 자동 프롬프트 감지 기능이 있는 지속적인 tmux 세션에서 명령을 실행하여
msfconsole또는sliver-client와 같은 대화형 도구를 사용할 수 있습니다. - Hardened Isolation: Docker socket을 통해 Kali Linux 샌드박스 내에서 모든 작업을 실행합니다.
- Knowledge Persistence: Neo4j를 사용하여 참여 전반에 걸친 발견 사항의 지식 그래프를 유지합니다.
- Dynamic Workloads: 오케스트레이터를 통해 필요에 따라 전문가 컨테이너(예: BloodHound CE, Ghidra MCP)를 생성합니다.
대상 사용자
복잡한 공격 작전을 자동화하거나, 시뮬레이션된 공격을 통해 방어 체계를 검증함으로써 방어력을 향상시키는 "Offensive Vaccine" 루프를 개발하려는 전문 레드팀 운영자 및 보안 연구원들을 위해 구축되었습니다.
주요 특징
- Professional Discipline: 패킷을 실행하기 전에 RoE, ConOps, Deconfliction Plans를 생성합니다.
- High Performance: 모든 난이도 수준에서 XBOW 검증 벤치마크에서 98.08%의 통과율을 달성했습니다.
- Multi-Model Support: Anthropic, OpenAI, Google Gemini 및 Ollama를 통한 로컬 모델과 같은 제공업체를 지원하는 계층 기반 폴백 체인을 특징으로 합니다.
- SDK Availability: 에이전트 팩토리 및 도구를 다른 연구나 제품에 통합하기 위해 Python 라이브러리로 사용할 수 있습니다.
Sources
- undefinedPurpleAILAB/Decepticon