AIRecon đại diện cho một bước tiến trong lĩnh vực tin tức bảo mật, hoạt động như một tác nhân kiểm thử xâm nhập tự động hoàn toàn ngoại tuyến. Công cụ này kết hợp một mô hình ngôn ngữ lớn (LLM) Ollama tự host với môi trường sandbox Docker Kali Linux, cho phép tự động hóa các đánh giá bảo mật toàn diện mà không cần truyền dữ liệu ra ngoài đám mây.
AIRecon: Tự động hóa Kiểm thử Xâm nhập Ngoại tuyến
Được phát triển bởi nhà nghiên cứu pikpikcu, AIRecon giải quyết bài toán chi phí cao của các mô hình thương mại dựa trên API như GPT-4 hoặc Claude. Các quy trình recon đệ quy thường yêu cầu hàng nghìn lệnh gọi LLM trong mỗi phiên, gây tốn kém đáng kể. Không giống các công cụ bảo mật thương mại dùng AI gửi dữ liệu mục tiêu đến máy chủ bên ngoài và yêu cầu đăng ký API liên tục, AIRecon đảo ngược hoàn toàn mô hình này.
Tất cả kết quả đầu ra của công cụ, báo cáo lỗ hổng và dữ liệu phiên đều được lưu trữ cục bộ trên máy của người vận hành. AIRecon tích hợp liền mạch với proxy Caido, cung cấp năm công cụ tích hợp sẵn: list, replay, automate (sử dụng các đánh dấu §FUZZ§), findings và scope management. Điều này làm cho AIRecon trở nên đặc biệt phù hợp với các chuyên gia săn lỗi thưởng và đội đỏ (red teamers) hoạt động dưới các chính sách xử lý dữ liệu nghiêm ngặt.
Cấu trúc và Các Giai đoạn Hoạt động
AIRecon cấu trúc mỗi cuộc đánh giá qua bốn giai đoạn tự động, mỗi giai đoạn có các mục tiêu, công cụ đề xuất và tiêu chí chuyển đổi tự động rõ ràng. Việc thực thi các giai đoạn này có tính chất mềm dẻo; tác nhân được định hướng nhưng không bị chặn hoàn toàn. Các điểm kiểm tra (checkpoints) được kích hoạt sau mỗi 5 lần lặp (đánh giá giai đoạn), mỗi 10 lần lặp (tự đánh giá), và mỗi 15 lần lặp (nén ngữ cảnh).
Trọn bộ công nghệ bao gồm sandbox Kali, tự động hóa trình duyệt, một công cụ fuzzing tùy chỉnh, Schemathesis cho API fuzzing, và Semgrep cho phân tích mã nguồn tĩnh (SAST). Đây là những yếu tố quan trọng trong việc phát hiện các mối đe dọa mạng tiềm ẩn.
Dataset Tùy chọn và Lưu trữ Dữ liệu
Một trong những tính năng nổi bật của AIRecon là bộ dữ liệu đi kèm tùy chọn (airecon-dataset). Bộ dữ liệu này lập chỉ mục khoảng 1.09 triệu bản ghi bảo mật vào cơ sở dữ liệu SQLite FTS5 cục bộ. Bao gồm các CVE, kỹ thuật đội đỏ, hướng dẫn CTF, mẫu Nuclei và các payload săn lỗi thưởng, tất cả đều hoạt động hoàn toàn ngoại tuyến.
LLM sẽ tự động gọi chức năng tìm kiếm dữ liệu (dataset_search) trước khi thử các kỹ thuật không quen thuộc, dựa trên dữ liệu đã lập chỉ mục thay vì suy đoán thuần túy. Bộ nhớ phiên được lưu trữ trong ~/.airecon/memory/airecon.db, bao gồm các phát hiện, mẫu vượt tường lửa (WAF bypass patterns), điểm tin cậy của công cụ và các chuỗi tấn công khám phá được cho từng mục tiêu, định hình hành vi trong tương lai của tác nhân.
Yêu cầu về Mô hình LLM
AIRecon yêu cầu một mô hình LLM có hỗ trợ gọi công cụ gốc và khả năng suy nghĩ mở rộng (khối <think>). Các mô hình có tham số dưới 8 tỷ tham số bị hạn chế nghiêm ngặt do tỷ lệ sai sót cao, việc phát minh CVE và các lệnh gọi công cụ không đáng tin cậy. Các cấu hình được đề xuất cho lỗ hổng CVE bao gồm:
- Mô hình LLM có khả năng gọi công cụ gốc (native tool-calling).
- Khả năng xử lý các khối suy nghĩ mở rộng (<think> blocks).
- Tham số mô hình lớn hơn 8 tỷ để giảm thiểu hiện tượng ảo giác và tăng độ tin cậy.
Tích hợp và Mở rộng Khả năng
AIRecon cung cấp 57 tệp kỹ năng (skill files) tích hợp sẵn và 289 ánh xạ tự động từ khóa sang kỹ năng, bao phủ các kỹ thuật tấn công phổ biến nhất. Kho lưu trữ cộng đồng airecon-skills bổ sung thêm 57 playbook dựa trên CLI cho các hoạt động CTF, săn lỗi thưởng và kiểm thử xâm nhập.
Việc tích hợp máy chủ MCP cũng được hỗ trợ thông qua tệp ~/.airecon/mcp.json. Điều này cho phép tác nhân tùy chỉnh phơi bày các công cụ bên ngoài, chẳng hạn như trình tạo XSS tùy chỉnh hoặc máy quét API độc quyền, như các công cụ hạng nhất của tác nhân. Sự linh hoạt này rất quan trọng trong việc đối phó với các cuộc tấn công mạng phức tạp.
Cài đặt và Yêu cầu Hệ thống
Việc cài đặt từ GitHub yêu cầu Python 3.12+, Docker 20.10+, và một phiên bản Ollama đang chạy. Quá trình cài đặt có thể hoàn thành chỉ bằng một lệnh duy nhất:
# Clone repository
git clone https://github.com/pikpikcu/airecon
cd airecon
# Install dependencies and run setup script
pip install -r requirements.txt
python setup.py install
# Start Ollama and run AIRecon
olama serve &
python -m airecon --help
Đối với người vận hành không có đủ VRAM cục bộ, AIRecon hỗ trợ thiết lập đường hầm Google Colab T4 GPU thông qua Cloudflare. Điều này cho phép phiên Colab miễn phí cung cấp mô hình trong khi giao diện người dùng (TUI) của AIRecon chạy cục bộ. GPU T4 miễn phí (15 GB VRAM) hỗ trợ mô hình qwen3.5:9b, mặc dù các phiên bị giới hạn ở 12 giờ và không phù hợp cho các hoạt động recon tự động sâu vượt quá giới hạn này.
Để cập nhật bản vá và duy trì an ninh, việc theo dõi các cảnh báo CVE mới nhất và áp dụng các biện pháp phòng ngừa là rất cần thiết.
