跳转至

Autonomous Vulnerability Hunting with MCP

Ch12.052 Autonomous Vulnerability Hunting with MCP

📊 Level ⭐⭐ | 7.8KB | entities/bullyingllms.md

-> 原文存档

摘要

Recently I've had a week off my $dayjob so decided to actually write up some of my side projects and sort out various admin tasks, however writing about the 0day machine is something I've wanted todo for a number of weeks. I'm going to deep dive into how I built an autonomous vulnerability hunting system using Claude Code and MCP, and some of the bugs it's found along the way. One funny quote to come out of it too from a group I'm in:

Andy basically is slave labouring the AI The title comes ... → 原文存档

深度分析

1. MCP 架构:从单点工具到完整研究流水线 本文最核心的技术贡献在于将 MCP(Model Context Protocol)从简单的「工具调用包装器」升华为一套完整的自动化渗透研究流水线。作者构建了 8 个 MCP 服务器、横跨 5 台 VM、集成 300+ 工具,形成了从「攻击面枚举 → 模糊测试 → 崩溃分类 → 漏洞验证 → 报告撰写」的全链路自动化。这一架构的关键设计选择是会话持久化(SSH/WinRM 会话跨工具调用保持连接),避免了每步重连的 token 消耗和上下文丢失。 值得注意的是,作者选择用 FastMCP 框架构建所有服务器,业务逻辑下沉到独立子模块(hunter/re_tools/exploit_tools/ 等),MCP 层只做薄包装。这种「薄 server 厚业务」的分层方式,使得业务逻辑可以独立于 MCP 协议进行测试和迭代,降低了架构耦合度。 2. "幻觉门控" 范式:从「相信 AI 输出」到「怀疑一切」 文章最值得提炼的设计哲学是Gate 0 = 幻觉 bin。作者在教训中意识到,LLM 驱动的分析会产生「听起来自信但可能与现实不符」的评估。因此,他建立了一套 4 级晋升制度:

  • Gate 0:PoC 存在且能编译
  • Gate 1:PoC 在干净 VM 快照中可复现崩溃
  • Gate 2:崩溃可利用(非空解引用或优雅退出)

  • Gate 3:标准用户权限下可触发(非 SYSTEM/管理员) 关键洞察:Findings 从幻觉 bin 出发,而非直接进入 findings 目录,是防止假阳性淹没报告、避免向厂商提交垃圾信息的核心机制。这对所有使用 LLM 进行安全研究的人都是重要提醒。 3. 知识回路与 RAG 的复合效应 作者构建的 RAG 知识回路(查询 → 收集 → 富化 → 学习 → 重复)是本文最有长期价值的工程贡献。每次模糊测试开始前,系统会查询历史发现;每次崩溃记录其域、目标和崩溃类;每次击败防御机制(AM-PPL、SxS、Authenticode)都会被记录并降低该目标在未来活动中的优先级。 经过 15+ 轮活动后,系统的推荐准确度显著高于冷启动状态。这种负结果积累(negative result logging)机制——将「某二进制有 AM-PPL 保护」「某 named pipe 仅管理员可访问」等负发现结构化记录——与成功发现同等重要,是知识回路真正的复合因子。 4. 成本经济学:订阅制下的 ROI 计算 作者开发了 TokenBurn 工具来追踪跨机器的 token 使用情况,并计算每发现一个有效漏洞的 VM-小时成本。关键发现:

  • 大多数活动产生零有效发现,模糊测试的随机性决定了这是常态而非异常

  • 成本随活动数量下降:第 20 次活动的单发现成本显著低于第 1 次,因为知识库已积累
  • 订阅制 vs API 计费:对于存在脉冲式使用模式的模糊测试场景,订阅制通常更划算 ROI 目标选择机制也值得关注:作者基于「保守派息估算 / 预计狩猎小时」计算期望 ROI,并对高竞争项目施加 40-60% 的折算,反映了真实漏洞奖金生态中的现实竞争压力。 5. 从 OEM 服务 0day 看高级攻击链的构建逻辑 文章中描述的 4 阶段攻击链(Named Pipe 认证绕过 → SSRF → Catalog 注入 → BYOVD)是一个教科书级别的多阶段链式漏洞利用案例。关键步骤:
  • 利用服务端不执行认证的 Named Pipe 设计缺陷(客户端自行实现认证)
  • 通过 WCF 接口的 URL 参数实现 SSRF,且无管理员权限校验
  • 伪造更新包描述符绕过 SHA256 和 Authenticode 签名验证
  • 利用 WHQL 签名但存在已知 CVE 的旧驱动绕过 HVCI 这说明现代高价值漏洞利用往往不是单一 0day,而是多条低/中危漏洞的链式组合

实践启示

对于安全研究人员: 1. 从 Gate 0 开始构建你的自动化研究系统:任何 LLM 辅助的安全研究工具链,第一步应该是建立「假阳性缓存/隔离区」,而非直接相信模型输出。将发现放入「待验证」暂存区,经过自动化 + 人工双重审查后再晋升。 2. 会话持久化是 MCP 安全自动化的关键:如果你的 MCP 实现中每个工具调用都重连 SSH,会大幅增加 token 消耗和时间延迟。投资于会话管理层(如重连逻辑、保活机制),收益会随使用规模放大。 3. 建立负结果知识库:记录哪些目标有防御机制、哪些攻击路径被堵塞,与记录成功漏洞同等重要。知识库的复合效应需要 10+ 轮活动才能显现,早期投入值得。 4. ROI 目标选择值得标准化:用「最低派息 / 预计小时 × 竞争折算」对潜在目标打分,避免在高竞争目标(如大型 OS 厂商)上浪费大量时间。 对于工程师和架构师: 5. 将 AI 辅助安全工具视为「高级实习生」而非「自动漏洞机器」:作者的关键判断——「我希望 AI 处理工具折腾,我保留思考和写作」——是正确的人机协作模型。AI 擅长的是:文献综述、代码框架生成、报告草稿、重复性数据分析;不适合的是:独立判断漏洞可利用性、替代人类专家决策。 6. 「低权限验证」应当成为你的安全测试标准流程:任何漏洞发现报告,在 SYSTEM/admin 上下文中验证通过后,必须用标准用户权限重新验证。真实的攻击者无法绕过权限边界,而很多漏洞研究流程忽略了这一点。 7. 考虑用 MCP 封装内部工具以实现 AI 可调用化:如果你有内部安全扫描工具、漏洞管理平台、SIEM 查询接口,将它们封装为 MCP 服务器可以让 Claude Code 等 AI 系统直接编排这些工具,而无需通过 API 直接集成。 → 原文存档

相关实体