会员服务
渗透 · 构建 · 自动化 · 智能体 · 攻击 ·
1 月 11 日
PenForge: On-the-Fly Expert Agent Construction for Automated Penetration Testing
翻译:PenForge:面向自动化渗透测试的即时专家智能体构建
Huihui Huang,Jieke Shi,Junkai Chen,Ting Zhang,Yikun Li,Chengran Yang,Eng Lieh Ouh,Lwin Khin Shar,David Lo
Huihui Huang,Jieke Shi,Junkai Chen,Ting Zhang,Yikun Li,Chengran Yang,Eng Lieh Ouh,Lwin Khin Shar,David Lo

Penetration testing is essential for identifying vulnerabilities in web applications before real adversaries can exploit them. Recent work has explored automating this process with Large Language Model (LLM)-powered agents, but existing approaches either rely on a single generic agent that struggles in complex scenarios or narrowly specialized agents that cannot adapt to diverse vulnerability types. We therefore introduce PenForge, a framework that dynamically constructs expert agents during testing rather than relying on those prepared beforehand. By integrating automated reconnaissance of potential attack surfaces with agents instantiated on the fly for context-aware exploitation, PenForge achieves a 30.0% exploit success rate (12/40) on CVE-Bench in the particularly challenging zero-day setting, which is a 3 times improvement over the state-of-the-art. Our analysis also identifies three opportunities for future work: (1) supplying richer tool-usage knowledge to improve exploitation effectiveness; (2) extending benchmarks to include more vulnerabilities and attack types; and (3) fostering developer trust by incorporating explainable mechanisms and human review. As an emerging result with substantial potential impact, PenForge embodies the early-stage yet paradigm-shifting idea of on-the-fly agent construction, marking its promise as a step toward scalable and effective LLM-driven penetration testing.


翻译:渗透测试对于在真实攻击者利用之前识别Web应用程序中的漏洞至关重要。近期研究探索了利用大型语言模型驱动的智能体自动化此过程,但现有方法要么依赖单一通用智能体(在复杂场景中表现不佳),要么依赖高度专业化的智能体(无法适应多样化的漏洞类型)。为此,我们提出了PenForge框架,该框架在测试过程中动态构建专家智能体,而非依赖预先准备的智能体。通过将潜在攻击面的自动化侦察与即时实例化的上下文感知利用智能体相结合,PenForge在极具挑战性的零日场景下,于CVE-Bench上实现了30.0%的利用成功率(12/40),这比现有最优方法提升了3倍。我们的分析还指出了未来工作的三个方向:(1)提供更丰富的工具使用知识以提高利用有效性;(2)扩展基准测试以涵盖更多漏洞和攻击类型;(3)通过引入可解释机制和人工审核来增强开发者信任。作为一项具有重大潜在影响的新兴成果,PenForge体现了即时智能体构建这一处于早期阶段但具有范式转换意义的理念,标志着其作为迈向可扩展且有效的大型语言模型驱动渗透测试的重要一步。
0
下载
关闭预览

相关内容

智能体工程(Agent Engineering)
智能体工程(Agent Engineering)
专知会员服务
33+阅读 · 2025年12月31日
《大语言模型驱动的智能红队测试》
《大语言模型驱动的智能红队测试》
专知会员服务
17+阅读 · 2025年11月26日
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
专知会员服务
19+阅读 · 2025年11月19日
【ICML2025】MetaAgent:基于有限状态机的多智能体系统自动构建方法
【ICML2025】MetaAgent:基于有限状态机的多智能体系统自动构建方法
专知会员服务
15+阅读 · 2025年7月31日
【ETHZ博士论文】设计与分析:一种面向极大规模、高性能、模块化的智能体仿真平台
【ETHZ博士论文】设计与分析:一种面向极大规模、高性能、模块化的智能体仿真平台
专知会员服务
31+阅读 · 2025年3月17日
AI Agent:基于大模型的自主智能体
AI Agent:基于大模型的自主智能体
专知会员服务
249+阅读 · 2023年9月9日
对抗机器学习在网络入侵检测领域的应用
对抗机器学习在网络入侵检测领域的应用
专知会员服务
35+阅读 · 2022年1月4日
【Google AI新论文EfficientDet】规模化高效化的物体检测,EfficientDet: Scalable and Efficient Object Detection(附pdf)
【Google AI新论文EfficientDet】规模化高效化的物体检测,EfficientDet: Scalable and Efficient Object Detection(附pdf)
专知会员服务
27+阅读 · 2019年11月24日
【ICCV2019教程】物体检测的R-CNN通用框架,The Generalized R-CNN Framework for Object Detection,180页ppt,Facebook 人工智能研究院Ross Girshick大神
【ICCV2019教程】物体检测的R-CNN通用框架,The Generalized R-CNN Framework for Object Detection,180页ppt,Facebook 人工智能研究院Ross Girshick大神
专知会员服务
25+阅读 · 2019年11月16日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
人脸静默活体检测最新综述
人脸静默活体检测最新综述
PaperWeekly
14+阅读 · 2020年8月9日
MediaPipe:Google Research 开源的跨平台多媒体机器学习模型应用框架
MediaPipe:Google Research 开源的跨平台多媒体机器学习模型应用框架
AI100
17+阅读 · 2019年9月14日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
Web渗透测试Fuzz字典分享
Web渗透测试Fuzz字典分享
黑白之道
21+阅读 · 2019年5月22日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
AINLP
35+阅读 · 2018年11月6日
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
七月在线实验室
11+阅读 · 2018年7月18日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于密集快速特征提取的可视媒体篡改检测研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于深度表达和迁移学习的人体检测研究
国家自然科学基金
6+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
A Dual-Loop Agent Framework for Automated Vulnerability Reproduction
Arxiv
0+阅读 · 2月5日
ProjDevBench: Benchmarking AI Coding Agents on End-to-End Project Development
Arxiv
0+阅读 · 2月2日
Penetration Testing for System Security: Methods and Practical Approaches
Arxiv
0+阅读 · 1月31日
AgentLongBench: A Controllable Long Benchmark For Long-Contexts Agents via Environment Rollouts
Arxiv
0+阅读 · 1月29日
MulVul: Retrieval-augmented Multi-Agent Code Vulnerability Detection via Cross-Model Prompt Evolution
Arxiv
0+阅读 · 1月26日
VulnResolver: A Hybrid Agent Framework for LLM-Based Automated Vulnerability Issue Resolution
Arxiv
0+阅读 · 1月20日
AgenticRed: Optimizing Agentic Systems for Automated Red-teaming
Arxiv
0+阅读 · 1月20日
SafePro: Evaluating the Safety of Professional-Level AI Agents
Arxiv
0+阅读 · 1月13日
ExpSeek: Self-Triggered Experience Seeking for Web Agents
Arxiv
0+阅读 · 1月13日
SastBench: A Benchmark for Testing Agentic SAST Triage
Arxiv
0+阅读 · 1月6日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
渗透
构建
自动化
智能体
攻击
最新内容
《COOL模型(行动循环圈):军事领导体系中的战役层级变革流程》
《COOL模型(行动循环圈):军事领导体系中的战役层级变革流程》
专知会员服务
7+阅读 · 4月20日
《系统簇式多域作战规划范畴论框架》
《系统簇式多域作战规划范畴论框架》
专知会员服务
3+阅读 · 4月20日
《美国防部指令6130.03,第2卷 服役医疗标准:保留》
《美国防部指令6130.03,第2卷 服役医疗标准:保留》
专知会员服务
3+阅读 · 4月20日
《美国防部指令6130.03,第1卷 服役医疗标准:任命、征募或征召》
《美国防部指令6130.03,第1卷 服役医疗标准:任命、征募或征召》
专知会员服务
2+阅读 · 4月20日
美空军“战场机载通信节点(BACN)”:美以对伊空战行动中隐形却关键的一环
美空军“战场机载通信节点(BACN)”:美以对伊空战行动中隐形却关键的一环
专知会员服务
3+阅读 · 4月20日
【CMU博士论文】面向非结构化环境下医疗急救的具身人工智能
【CMU博士论文】面向非结构化环境下医疗急救的具身人工智能
专知会员服务
1+阅读 · 4月20日
高效视频扩散模型:进展与挑战
高效视频扩散模型:进展与挑战
专知会员服务
0+阅读 · 4月20日
乌克兰前线的五项创新
乌克兰前线的五项创新
专知会员服务
6+阅读 · 4月20日
军事通信系统与设备的技术演进综述
军事通信系统与设备的技术演进综述
专知会员服务
4+阅读 · 4月20日
《北约 AI手册:作战人员的实用考量》(2026最新64页)
《北约 AI手册:作战人员的实用考量》(2026最新64页)
专知会员服务
8+阅读 · 4月20日
《北约标准:医疗评估手册》174页
《北约标准:医疗评估手册》174页
专知会员服务
4+阅读 · 4月20日
《提升生成模型的安全性与保障》博士论文
《提升生成模型的安全性与保障》博士论文
专知会员服务
4+阅读 · 4月20日
美国当前高超音速导弹发展概述
美国当前高超音速导弹发展概述
专知会员服务
4+阅读 · 4月19日
《高超音速武器:一项再度兴起的技术》120页slides
《高超音速武器:一项再度兴起的技术》120页slides
专知会员服务
13+阅读 · 4月19日
无人机蜂群建模与仿真方法
无人机蜂群建模与仿真方法
专知会员服务
14+阅读 · 4月19日
相关VIP内容
智能体工程(Agent Engineering)
智能体工程(Agent Engineering)
专知会员服务
33+阅读 · 2025年12月31日
《大语言模型驱动的智能红队测试》
《大语言模型驱动的智能红队测试》
专知会员服务
17+阅读 · 2025年11月26日
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
专知会员服务
19+阅读 · 2025年11月19日
【ICML2025】MetaAgent:基于有限状态机的多智能体系统自动构建方法
【ICML2025】MetaAgent:基于有限状态机的多智能体系统自动构建方法
专知会员服务
15+阅读 · 2025年7月31日
【ETHZ博士论文】设计与分析:一种面向极大规模、高性能、模块化的智能体仿真平台
【ETHZ博士论文】设计与分析:一种面向极大规模、高性能、模块化的智能体仿真平台
专知会员服务
31+阅读 · 2025年3月17日
AI Agent:基于大模型的自主智能体
AI Agent:基于大模型的自主智能体
专知会员服务
249+阅读 · 2023年9月9日
对抗机器学习在网络入侵检测领域的应用
对抗机器学习在网络入侵检测领域的应用
专知会员服务
35+阅读 · 2022年1月4日
【Google AI新论文EfficientDet】规模化高效化的物体检测,EfficientDet: Scalable and Efficient Object Detection(附pdf)
【Google AI新论文EfficientDet】规模化高效化的物体检测,EfficientDet: Scalable and Efficient Object Detection(附pdf)
专知会员服务
27+阅读 · 2019年11月24日
【ICCV2019教程】物体检测的R-CNN通用框架,The Generalized R-CNN Framework for Object Detection,180页ppt,Facebook 人工智能研究院Ross Girshick大神
【ICCV2019教程】物体检测的R-CNN通用框架,The Generalized R-CNN Framework for Object Detection,180页ppt,Facebook 人工智能研究院Ross Girshick大神
专知会员服务
25+阅读 · 2019年11月16日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
人脸静默活体检测最新综述
人脸静默活体检测最新综述
PaperWeekly
14+阅读 · 2020年8月9日
MediaPipe:Google Research 开源的跨平台多媒体机器学习模型应用框架
MediaPipe:Google Research 开源的跨平台多媒体机器学习模型应用框架
AI100
17+阅读 · 2019年9月14日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
Web渗透测试Fuzz字典分享
Web渗透测试Fuzz字典分享
黑白之道
21+阅读 · 2019年5月22日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
AINLP
35+阅读 · 2018年11月6日
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
一文读懂目标检测:R-CNN、Fast R-CNN、Faster R-CNN、YOLO、SSD
七月在线实验室
11+阅读 · 2018年7月18日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
相关论文
A Dual-Loop Agent Framework for Automated Vulnerability Reproduction
Arxiv
0+阅读 · 2月5日
ProjDevBench: Benchmarking AI Coding Agents on End-to-End Project Development
Arxiv
0+阅读 · 2月2日
Penetration Testing for System Security: Methods and Practical Approaches
Arxiv
0+阅读 · 1月31日
AgentLongBench: A Controllable Long Benchmark For Long-Contexts Agents via Environment Rollouts
Arxiv
0+阅读 · 1月29日
MulVul: Retrieval-augmented Multi-Agent Code Vulnerability Detection via Cross-Model Prompt Evolution
Arxiv
0+阅读 · 1月26日
VulnResolver: A Hybrid Agent Framework for LLM-Based Automated Vulnerability Issue Resolution
Arxiv
0+阅读 · 1月20日
AgenticRed: Optimizing Agentic Systems for Automated Red-teaming
Arxiv
0+阅读 · 1月20日
SafePro: Evaluating the Safety of Professional-Level AI Agents
Arxiv
0+阅读 · 1月13日
ExpSeek: Self-Triggered Experience Seeking for Web Agents
Arxiv
0+阅读 · 1月13日
SastBench: A Benchmark for Testing Agentic SAST Triage
Arxiv
0+阅读 · 1月6日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于密集快速特征提取的可视媒体篡改检测研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于深度表达和迁移学习的人体检测研究
国家自然科学基金
6+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top