面包屑图标 当前位置: 首页
AI资讯
热点详情

阿里云推出模型驱动智能渗透验证,实现攻击链还原持续安全

AI热点日报
AI热点日报时间:2026-07-16
热点解读

阿里云发布AgenticBAS智能渗透验证,采用多智能体协同架构与大模型驱动,实现从漏洞点到漏洞链的还原与持续安全验证。系统覆盖AI生成代码引入的新攻击面,支持自然语言发起任务、自动化渗透及攻击路径推进,提升漏洞检出率与告警准确率。

# 阿里云Agentic BAS:重新定义渗透测试——从孤立“漏洞点”到完整“漏洞链”的真实威胁发现 今天我们来探讨一个正在重塑网络安全攻防格局的关键技术——Agentic BAS。当AI生成的代码占比已超过40%时,传统安全检测工具仍然依赖规则匹配扫描漏洞,两者之间的代差远超普遍认知。 一项关键数据值得关注:据Gartner 2026年调研预测,到2029年,70%的中国企业将部署AI安全测试。然而现实是,传统扫描器只能识别孤立的“漏洞点”,无法还原完整的“漏洞链”;同时难以检测AI生成代码带来的提示词注入、Agent工具滥用等新型攻击面。大量业务逻辑漏洞与新兴风险就这样被遗漏。 ## 阿里云正式发布Agentic BAS智能渗透验证系统 阿里云Agentic BAS采用三段式调度多Agent协同架构,即多智能体协同引擎与千问大模型/垂域安全大模型联合主导决策,全面覆盖多维度渗透测试场景。该系统将渗透测试拆解为侦察、决策、攻击、验证、报告等多个独立智能体,通过智能调度与协作机制,保障安全风险发现的高度准确性。 具体来说,这套系统由多个分工明确的智能体协同工作: - **中心调度Agent**:基于AI对渗透目标的理解与分析,制定渗透策略及路径规划,分配渗透任务,并协调各Agent的协同工作与调度。 - **侦察Agent**:借助大模型语义推理,对域名、SPA路由及JS Bundle进行深度测绘。融合爬取、静态分析、API反查与指纹识别技术,输出包含资产树、攻击面分级及风险初评的完整资产地图。 - **渗透Agent**:独立执行引擎按攻击面分层下发任务,覆盖SQL注入、SSRF、越权、敏感配置等多种漏洞类型,输出可复现的Payload与请求轨迹。 - **验证Agent**:通过模拟攻防双向验证,确认漏洞可利用性,结合业务上下文调整危害等级并过滤无效告警,输出“成因→复现→影响→修复”四位一体的可信报告。 - **报告Agent**:结构化沉淀完整时间线、请求原文、调用图及复测脚本,一次测试即可生成可执行的安全整改方案。 Agentic BAS由AI大模型驱动,AI的思考与推理嵌入到Agent协同的规划、渗透、验证、报告四个核心阶段。高危操作需经过“策略网关”二次确认,既充分发挥AI Agent的自主性,又将“高危误伤”控制在受控边界之内。 ## 基于大模型驱动的智能渗透 ### 一键发起渗透测试任务 值得关注的是,整个测试任务的发起方式正在被重新定义。用户只需通过自然语言定义目标、范围与重点——例如“针对*.example.com测试未授权访问,48小时窗口,禁止DoS攻击,结果推送钉钉”——Agentic BAS即可自动理解意图并生成任务。从此告别yaml模板与复杂参数配置,自然语言成为安全测试的全新交互方式。 ### 多Agent自动编排 任务下发后,系统自动进行拆解与调度,依次执行资产探测、指纹识别、JS解析、接口枚举、漏洞挖掘与漏洞验证,整个流程无需人工操作nmap、sqlmap等传统工具。 ### 攻击路径持续推进 这正是Agentic BAS与传统扫描器的本质区别。传统扫描器仅能识别孤立的“漏洞点”,而Agentic BAS能够还原完整的“漏洞链”。 执行结果回注大模型,由模型决策下一步动作:获取低权账号则尝试越权;发现SSRF则探测内网元数据;采集到STS Token则审计OSS权限;actuator暴露则抓取Heap Dump;嗅探到MySQL明文则重组请求还原AK/SK。整个测试过程高度模拟真实攻击者行为,而非停留在指纹匹配与版本比对层面。 ## 从“扫描器报告”到“真实攻击链”的转变 ### 从“规则匹配”到“语义理解”:AI时代的风险覆盖 全球超过40%的新代码由AI辅助生成。若未进行安全提示词工程,初始漏洞密度可比人工代码高出2倍,包含隐式提权、硬编码密钥、未校验输入等模式。传统DAST缺乏语义理解能力,对此类漏洞误报率高、漏检深度大。 Agentic BAS借助大模型理解业务逻辑与Agent工具链,对Prompt注入、间接注入、工具滥用、RAG投毒等攻击方式进行攻防双向验证,全面覆盖“AI生成代码+AI Agent运行”所产生的新型攻击面。 ### 从“项目验证”到“持续管控”:合规审计的过程留痕 《网络安全法》、《数据安全法》及GDPR等法规均要求供应链透明与漏洞快速响应。Agentic BAS能够将渗透测试从项目制转化为基础安全措施,支持每周例行自动化验证,过程结构化留痕,满足合规审计与内控追溯要求。 ## 最佳实践 ### 多账号集团企业“周度安全体检” 集团型企业通常拥有数十个云账号、上千项公网资产,传统渗透测试每年仅能覆盖个别目标。Agentic BAS支持**按周自动化渗透,AI Agent可自主进化**,实现从“每年两次人工渗透”到“每周自动化安全体检”的能力跃升。 ### AI Coding场景下的安全验证 某头部零售客户引入AI Coding与Agent应用后,传统SAST/DAST无法覆盖Prompt注入及工具滥用风险。通过**Agentic代码安全的前置白盒安全检查** + **Agentic BAS的协同黑盒**自动化验证,实现了: - 漏洞检出率**提升30%以上** - 告警准确率**提升35%以上** - 新发现12类LLM应用特有风险(包括间接提示词注入、Agent工具越权、RAG数据投毒等) ### 红队前置+蓝队闭环的安全有效性验证 Agentic BAS自动完成前置80%的侦察、分析与链路初验,使红队能够聚焦于20%的复杂业务逻辑与0day挖掘。蓝队则可基于可视化攻击路径反向校准WAF/NDR/EDR防护策略,实现红蓝对抗的分钟级闭环。
热点追踪提示词
你是一名 AI 行业编辑,请围绕下面这条热点输出一份资讯解读:
热点:阿里云推出模型驱动智能渗透验证,实现攻击链还原持续安全要求:
1. 先用一句话解释这条热点在讲什么
2. 再总结它为什么重要
3. 说明会影响哪些 AI 产品或内容方向
4. 最后给出 3 个适合资讯站使用的标题
来源:https://www.53ai.com/news/LargeLanguageModel/2026071635798.html
ai 人工智能

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

相关热点
AI热点2026-07-17 11:23
工信部注销八家老牌车企整车生产资质

工业和信息化部近日更新了《道路机动车辆生产企业及产品公告》,一汽夏利、华晨自主、众泰、猎豹、力帆、华泰、北汽银翔(幻速)、老海马共八家老牌汽车企业被正式移出车企名录,其整车生产资质被冻结并永久失效。这意味着这些企业从法律和工业生产层面已不具备合法生产整车的资格,相关工厂将停工、生产线封存。例如,浙江

AI热点2026-07-17 10:51
飞利浦E6606翻盖4G功能机入网 双卡双待

飞利浦新款E6606翻盖功能机入网,采用经典时尚翻盖设计,配备2 8英寸高清TFT屏和T9键盘,搭载0 614GHz单核低功耗处理器,16MB运存与8MB存储(最大可扩32GB),支持4G双卡双待及VoLTE高清通话,并内置2300mAh超大电池超长续航,不支持2G 3G数据网络。

AI热点2026-07-17 10:19
iOS 27液态玻璃图标升级:清晰度提升与倾斜错觉消除

iOS27对液态玻璃图标进行技术重构,整合图层并优化渲染,使图标边缘更锐利、玻璃折射更通透,同时移除随设备倾斜变化的动态高光,彻底消除视觉倾斜错觉,提升了清晰度与界面稳定性。

AI热点2026-07-17 10:18
哔哩哔哩直播姬移动端停止服务 直播迁移至主站App

哔哩哔哩直播姬移动端App今日起正式停止核心服务,包括开播和推流功能,应用也已从应用商店下架。B站官方表示,用户的所有账号权益,包括粉丝、数据和收益均不受影响,但需迁移至哔哩哔哩主站App进行直播。主站App的直播功能已能完全替代原工具,且美颜功能获得全面升级。用户迁移后需重点检查开播设置,特别是美

延伸阅读