Decepticon: 一个在加固沙箱中执行专业攻击链和杀伤链的自主红队智能体
Decepticon: 一个在加固沙箱中执行专业攻击链和杀伤链的自主红队智能体
它解决了什么问题
Decepticon 是一个自主红队智能体,旨在超越简单的漏洞扫描。它能够自动化执行复杂的、真实的攻击链——包括侦察、漏洞利用、权限提升和横向移动——同时遵循专业参与标准,如交战规则 (RoE) 和映射到 MITRE ATT&CK 框架的操作计划 (OPPLAN)。
工作原理
该系统采用双网络架构,将管理平面(编排、LLMs 和数据库)与沙箱平面(执行攻击的地方)隔离。它使用由 16 个按杀伤链阶段组织的专家智能体团队,每个智能体都拥有全新的上下文窗口以最大限度地减少噪声。
关键技术特性包括:
- 交互式 Shell 支持:在持久的 tmux 会话中运行命令并具有自动提示符检测功能,允许其使用交互式工具,如
msfconsole或sliver-client。 - 加固隔离:通过 Docker socket 在 Kali Linux 沙箱中执行所有操作。
- 知识持久化:使用 Neo4j 在整个参与过程中维护发现结果的知识图谱。
- 动态工作负载:通过编排器按需生成专家容器(例如,BloodHound CE、Ghidra MCP)。
适用人群
它专为专业的红队人员和安全研究人员构建,旨在自动化复杂的进攻性操作,或开发“进攻性疫苗”闭环,通过模拟攻击来验证防御措施并从而改进防御。
亮点
- 专业纪律:在执行任何数据包之前生成 RoE、ConOps 和冲突检测计划 (Deconfliction Plans)。
- 高性能:在 XBOW 验证基准测试的所有难度级别上均达到了 98.08% 的通过率。
- 多模型支持:具有基于层级的回退链,支持 Anthropic、OpenAI、Google Gemini 以及通过 Ollama 使用的本地模型。
- SDK 可用性:可以作为 Python 库使用,以便将智能体工厂和工具集成到其他研究或产品中。
Sources
- undefinedPurpleAILAB/Decepticon