首页
看点啥
插画图片
首页 看点啥 阿里云正式发布Agentic BAS智能渗透验证:模型驱动攻击链还原与持续安全验证

阿里云正式发布Agentic BAS智能渗透验证:模型驱动攻击链还原与持续安全验证

2026-07-16 0

阿里云Agentic BAS重新定义渗透测试,让AI驱动攻击链还原,实现从“漏洞点”到“漏洞链”的真实威胁发现。
核心内容:
1. 传统安全检测的局限与AI时代的新挑战
2. Agentic BAS多智能体协同架构与核心能力
3. 从自然语言交互到攻击链还原的智能化实践

Gartner 2026年调研显示:2029年70%的中国企业将实施AI安全测试;与此同时,AI生成代码占比已突破40%,传统安全检测能力正面临前所未有的代际挑战。传统扫描器识别孤立“漏洞点”,无法还原完整“漏洞链”;也无法检测AI生成代码引入提示词注入、Agent工具滥用等新攻击面,导致大量业务逻辑漏洞与新型风险被遗漏。



阿里云正式发布
Agentic BAS智能渗透验证

阿里云Agentic BAS采用三段式调度多Agent协同架构,多智能体协同引擎 + 千问大模型/垂域安全大模型主导决策,覆盖多维度渗透测试场景,并将渗透测试拆解为侦察、决策、攻击、验证、报告等多个独立智能体,通过智能调度协作机制,确保安全风险发现的准确性。



阿里云Agentic BAS的多Agent分工如下:


Agentic BAS由AI大模型驱动,AI思考及推理嵌入至Agent协同的规划 - 渗透 - 验证 - 报告等四个主要阶段,高危操作经“策略网关”二次确认,确保AI Agent的自主性,又将“高危误伤”挡在受控边界之前。



基于大模型驱动的智能渗透





一键发起渗透测试任务


通过自然语言定义目标、范围与重点(如“针对*.example.com测未授权访问,48小时窗口,禁止DoS攻击,结果推送钉钉”),Agentic BAS自动理解意图并生成任务,告别yaml模板与复杂参数配置,让自然语言成为安全测试的新交互方式。





多Agent自动编排


任务下发后自动拆解调度,执行资产探测→指纹识别→JS解析→接口枚举→漏洞挖掘→漏洞验证,无需人工操作nmap、sqlmap等工具。





攻击路径持续推进


区别于扫描器仅识别“漏洞点”,Agentic BAS还原“漏洞链”。


执行结果回注大模型决策下一步动作:获低权账号则尝试越权;发现ssrf则探内网元数据;采集STS Token则审计OSS权限;actuator暴露则抓Heap Dump;嗅探MySQL明文则重组请求还原AK/SK。


测试过程贴近真实攻击者行为,而非停留于指纹匹配与版本比对。




从“扫描器报告”到“真实攻击链”





从“规则匹配”到“语义理解”:AI时代的风险覆盖


全球40%以上新代码由AI辅助生成。


未做安全提示词工程时,初始漏洞密度超人工代码2倍,包含隐式提权、硬编码密钥、未校验输入等模式。传统DAST缺乏语义理解,对此类漏洞误报高、漏检深。


Agentic BAS通过大模型理解业务与Agent工具链,对Prompt注入、间接注入、工具滥用、RAG投毒等进行攻防双向验证,覆盖“AI生成代码+AI Agent运行”新攻击面。




从“项目验证”到“持续管控”:合规审计的过程留痕


《网络安全法》、《数据安全法》及GDPR等均要求供应链透明与漏洞快速响应。


Agentic BAS可将渗透测试从项目制转为基础安全措施,支持每周例行自动验证,过程结构化留痕,满足合规审计与内控追溯需求。



最佳实践





多账号集团企业“周度安全体检”


集团型企业拥有数十云账号、上千公网资产,传统渗透测试每年仅能覆盖个别目标。


Agentic BAS支持按周自动化渗透,AI Agent自主进化,实现从“每年两次人工渗透”到“每周自动化安检”的能力升级。




AI Coding场景下的安全验证


某头部零售客户引入AI Coding与Agent应用,传统SAST/DAST无法覆盖Prompt注入及工具滥用风险。通过Agentic代码安全的前置白盒安全检查 + Agentic BAS的协同黑盒自动化验证实现:





红队前置+蓝队闭环的安全有效性验证


Agentic BAS自动完成前置80%的侦察、分析与链路初验,让红队聚焦20%复杂业务逻辑与0day挖掘。蓝队基于可视化攻击路径反向校准WAF/NDR/EDR防护策略,实现红蓝对抗分钟级闭环。

登录查看剩余 70% 内容

喜欢(0)

上一篇

deepseek满血版最新入口地址怎么查?-免费访问deepseek满血版网页

deepseek满血版最新入口地址怎么查?-免费访问deepseek满血版网页

下一篇

当我们谈论知识工程时:我们到底在谈论什么?

当我们谈论知识工程时:我们到底在谈论什么?
猜你喜欢