DarkMoon 是一个新的开源平台它使用 AI 代理跨 Web、网络、Active Directory、Kubernetes、云和应用程序环境运行自动化渗透测试工作流程。该项目将多代理 AI 层与基于 Docker 的工具箱内的 50 多个安全工具相结合。
该平台专为授权安全测试而设计,而不是对未知系统进行随意扫描。它的主要承诺是可重复性:安全团队可以定义目标,让人工智能规划评估,并接收基于证据的调查结果,而无需手动将每个工具链接在一起。
该项目的 GitHub 存储库描述了 DarkMoon作为一个自主的人工智能渗透测试引擎,它使用代理推理、真实的漏洞执行和攻击路径分析来产生基于证据的漏洞。目前有 110 个 GitHub star,19 个 fork,没有发布GitHub 在撰写本文时发布。
暗月做什么
DarkMoon 充当安全评估的编排层。人工智能决定接下来要测试什么,而受控的模型上下文协议执行层则处理工具访问并将命令保留在平台定义的边界内。
该架构将计划与执行分开。 AI 推理和委托工作,MCP 层控制可以运行的内容,Docker 工具箱独立执行安全工具。
这很重要,因为如果自主安全工具在没有护栏的情况下运行,就会带来真正的风险。 DarkMoon 的设计试图通过让人工智能远离直接系统执行并通过受控界面路由活动来降低这种风险。
一目了然
| 类别 | 细节 |
|---|---|
| 项目名称 | 暗月 |
| 存储库 | ASCIT31/暗月 |
| 执照 | GPL-3.0 |
| 主要用途 | 自主人工智能驱动的渗透测试 |
| 执行模型 | AI规划、MCP控制执行、Docker工具箱隔离 |
| 综合工具 | 超过 50 个安全工具 |
| 支持地区 | Web、CMS、Active Directory、Kubernetes、GraphQL、网络和基于浏览器的测试 |
| 法学硕士支持 | OpenAI、Anthropic、OpenRouter、Ollama 和 llama.cpp |
评估流程如何运作
当目标进入平台时,暗月从发现开始。它识别开放端口、服务、协议、应用程序框架、内容管理系统、API 和其他可见的攻击面详细信息。
然后,平台根据发现的内容选择专门的子代理。例如,专注于 CMS 的代理可以处理 WordPress、Drupal、Joomla、Magento、PrestaShop 和 Moodle,而 Kubernetes 代理可以使用 Kubernetes 特定的工具。
目标是超越静态扫描。 DarkMoon 可以根据结果调整后续步骤,用证据验证发现,并在评估后生成结构化报告。
该项目附带了一个包含 50 多个工具的 Docker 镜像。这为人工智能代理提供了一个现成的测试环境,无需用户手动配置每个扫描仪或实用程序。
该工具集包括 Naabu 和 Masscan 等端口扫描仪,Nuclei、ffuf、dirb、sqlmap、Arjun 和 wafw00f 等 Web 测试工具,以及 Subfinder、Katana、Waybackurls 和 httpx 等侦察工具。
DarkMoon 还包括 CMS、Active Directory、Kubernetes、网络和以浏览器为中心的实用程序,包括 WPScan、CMSeeK、WhatWeb、NetExec、BloodHound、Impacket 脚本、kubectl、Kubescape、Kubeletctl、Hydra、curl、dig、SNMP 工具和 Lightpanda。
主要代理类别
- 适用于 WordPress、Drupal、Joomla、Magento、PrestaShop 和 Moodle 等平台的 CMS 代理。
- 适用于 PHP、Node.js、Flask、ASP.NET、Spring Boot 和 Ruby on Rails 的堆栈特定代理。
- 用于特定于 API 的评估工作流程的 GraphQL 代理。
- 用于内部网络和以身份为中心的测试的 Active Directory 代理。
- 用于集群和工作负载检查的 Kubernetes 代理。
- 无头浏览器代理适用于需要渲染或浏览器交互的情况。
为什么安全团队可能感兴趣
DarkMoon 适合更广泛的人工智能辅助安全测试。渗透测试仍然需要熟练的人员,但人工智能编排可以帮助团队扩展重复的发现、扫描、验证和报告工作。
DevSecOps 团队可以使用此类平台在构建之后或生产更改之前运行授权检查。漏洞赏金猎人和研究人员可能使用它来加速目标映射和分类,前提是它们位于程序范围内。
对于组织来说,主要价值是一致性。受控的人工智能工作流程可以对许多资产应用相同的评估流程,生成可比较的报告,并减少因手动交接而导致的遗漏步骤。
仍需谨慎的地方
如果团队没有明确定义范围,自主渗透测试可能会产生业务和法律风险。错误配置的目标、缺少排除或过度激进的扫描可能会影响测试人员不拥有或控制的系统。
人工智能代理也可能做出错误的假设。在组织将其视为已确认的风险之前,发现的结果仍然需要人工审核,特别是当结果影响生产系统、合规性报告或客户数据时。
DarkMoon 自己的设计使用受控执行层,但这并不能消除对授权、速率限制、日志记录和变更控制程序的需要。
使用前建议的防护措施
- 仅针对您拥有或具有测试书面许可的系统运行 DarkMoon。
- 在开始评估之前定义目标范围、排除、凭证和测试强度。
- 首次评估该工具时,请使用隔离的测试环境。
- 在将其作为已确认的漏洞进行共享之前,请先检查生成的每个发现。
- 保留工具执行、目标范围、时间戳和用户批准的日志。
- 在对生产资产进行检查之前与系统所有者进行协调。
- 限制对 LLM API 密钥、目标凭据和生成的报告的访问。
- 监控 Docker 环境中的出站网络活动。
与传统扫描仪相比如何
| 区域 | 传统扫描仪 | DarkMoon 风格的 AI 工作流程 |
|---|---|---|
| 测试计划 | 通常基于规则或用户定义 | 人工智能根据发现的上下文计划下一步 |
| 工具链 | 通常是手动或脚本化 | 代理通过受控执行层协调工具 |
| 适应 | 仅限于扫描仪逻辑 | 可以根据技术指纹选择子代理 |
| 报告 | 通常由扫描仪生成 | 专为结构化、基于证据的评估报告而设计 |
| 风险 | 误报和噪声扫描 | 误报加上人工智能推理和范围控制风险 |
更大的趋势
暗月反映了更广泛的转变在网络安全工具中。人工智能代理正在从简单的咨询角色转变为可以规划工作流程、运行工具、解释结果和生成报告的系统。
PentestGPT 和较新的自主测试框架等研究项目已经对多代理和 LLM 辅助渗透测试表现出了浓厚的兴趣。 DarkMoon 将这一想法带入围绕真正的安全实用程序构建的开源工具链中。
方向很明确:更多的安全测试将变得自动化和代理驱动。挑战在于使自动化安全、有范围、可审计并且对防御者有用,而不是有风险或噪音。
概括
- DarkMoon 是一个开源的人工智能驱动的自主渗透测试平台。
- 它使用 AI 代理、MCP 控制的执行层和 Docker 工具箱。
- 该工具箱包括 50 多个用于 Web、网络、CMS、Active Directory、Kubernetes 和侦察工作的安全工具。
- 该平台支持云 LLM 提供商和本地模型选项。
- 其主要价值是可重复的、基于证据的评估自动化。
- 团队应仅在具有明确范围和人工审查的授权环境中使用它。
FAQ
DarkMoon支持本地AI模型吗?
是的。项目文档称它支持 OpenAI、Anthropic 和 OpenRouter 等云提供商,以及通过 Ollama 和 llama.cpp 提供的本地选项。
暗月是什么?
DarkMoon 是一个由人工智能驱动的开源渗透测试平台,它使用专门的代理通过受控执行层来规划和运行安全评估。
DarkMoon 包含多少种工具?
该项目表示,其 Docker 工具箱包含 50 多个安全工具,包括用于扫描、侦察、CMS 测试、Active Directory、Kubernetes、网络和基于浏览器的工作流程的工具。
DarkMoon 是漏洞扫描器吗?
DarkMoon 包含漏洞扫描工具,但它比单个扫描器更广泛。它充当人工智能编排平台,可以根据发现的目标环境选择工具和子代理。