3.1 总览

VulnBot 的整体架构如图 2 所示。VulnBot 是一个自主的渗透测试框架，旨在模拟人类渗透测试团队的协作和策略性工作流程。系统围绕五个核心模块构建：计划器（Planner）、记忆检索器（Memory Retriever）、生成器（Generator）、执行器（Executor） 和 总结器（Summarizer），共同自动化实现渗透测试的三个主要阶段：信息侦察（Reconnaissance）、漏洞扫描（Scanning） 和 漏洞利用（Exploitation）。该设计不仅解决了自动化渗透测试任务的复杂性，还确保了面对不可预见挑战时的适应能力，从而在多种测试场景中保持系统的鲁棒性。

---

3.2 角色专精化

借鉴 Takeaway 1 和 4，我们引入了“角色专精化机制”。明确的角色分工是复杂系统中高效解决问题的关键。通过将复杂任务分解为较小、定义明确的子任务，专门化的角色可以专注于特定目标，利用其独特专长为总体目标做出贡献。在渗透测试的背景下，这种方法尤为关键，因为该过程包含多个相互依赖的阶段，每个阶段都需要不同的技能和工具。

在设计过程中，我们面临的一个重要挑战是大语言模型（LLM）的上下文长度限制。在执行五阶段流程时，来自早期阶段的关键信息常常随着流程推进而丢失或被稀释。这是因为每个阶段不仅需要引用前一阶段的信息，还需要保留全部前置阶段的信息。

为了解决这一限制，我们将渗透测试流程重构为三个专门的阶段：侦察、扫描和利用。该简化策略确保每个阶段都能保持清晰的焦点，同时最大限度减少跨阶段信息丢失。我们通过文本形式为代理提供任务指令，包括任务描述、角色扮演 jailbreak 方法（用于绕过 LLM 使用策略）[13, 38, 56] 以及关于代理的初始信息。

侦察阶段

侦察阶段是渗透测试流程的基础，旨在收集目标系统的全面信息。在此阶段，代理需执行对目标的全面扫描，识别所有开放端口与服务。我们为侦察代理配备了如 Nmap [44] 和 Dirb [17] 等广泛使用的网络发现工具。通过系统性地收集与组织这些数据，侦察阶段为后续扫描阶段提供必要的上下文。

扫描阶段

建立在侦察阶段收集的数据基础之上，扫描阶段专注于识别目标系统中的漏洞和错误配置。在此阶段，代理使用诸如 Nikto [43]（用于 Web 服务器漏洞扫描）和 WPScan [54]（用于检测 WordPress 站点问题）等专用工具来发现潜在弱点。扫描阶段对缩小攻击面和优先定位可利用漏洞至关重要。通过清晰地区分侦察与扫描阶段，我们确保每个代理能专注于自身任务，不会被无关信息干扰。

利用阶段

漏洞利用阶段是渗透测试流程的高潮部分，旨在利用侦察与扫描阶段发现的漏洞来访问目标系统并提升权限。在此阶段，代理使用如 Metasploit [39]（用于开发与执行漏洞利用代码）和 Hydra [32]（用于暴力破解凭据）等工具。

该设计确保每一阶段都构建在前一阶段的基础之上，形成适应现实系统复杂性的无缝高效工作流程。

---

3.3 渗透路径规划

渗透路径规划是 VulnBot 的关键组成部分，由 计划器（Planner） 和 记忆检索器（Memory Retriever） 模块共同实现。Planner 模块负责生成并维护渗透测试计划，其操作分为两个不同的会话：计划会话（Plan Session） 和 任务会话（Task Session），分别负责规划和执行任务。

计划会话

Planner 首先以 JSON 合规结构生成行动计划，针对用户需求和目标系统特征进行定制。该计划被分解为结构化任务列表，每项任务包含唯一标识符、依赖关系、指令和操作类型，如图 3 所示。其核心目标是构建一个渗透测试任务图（PTG），明确各任务的逻辑顺序。随后，计划会根据任务执行结果动态更新，纳入成功与失败任务的反馈。

此会话受两个关键机制驱动：

• 任务驱动机制（3.3.1 节）：将任务组织为有向无环图。
• 检查与反思机制（3.3.2 节）：通过对执行结果的迭代反馈，确保计划的持续优化与自适应。

任务会话

该会话聚焦于为每条指令生成具体任务细节，并交由 Generator 模块执行，同时检查任务执行是否成功。

为了缓解 LLM 常见的幻觉问题，我们引入了第三方的 基于检索增强的生成框架 Langchain-Chatchat [37]。Memory Retriever 模块使用向量数据库存储成功任务及渗透知识的嵌入。在生成或更新计划时，系统会将当前计划转换为嵌入向量，并使用文本嵌入模型计算与已存向量的相似度。检索出相似度最高的 k 条记录后，再通过重排序算法选择最优方案。这一策略确保系统能借助过往经验与知识增强规划决策。Memory Retriever 在支持 Planner 模块方面的作用将在第 5.4 节详细讨论。

---

3.3.1 任务驱动机制

任务驱动机制围绕**渗透测试任务图（PTG）**展开，该图是一种结构化方式，用于表示任务及其依赖关系，确保任务按逻辑顺序、无冲突地执行，同时也便于追踪任务进度与执行结果。

定义 1（渗透测试任务图）
一个 PTG 是一个有向无环图 G = (V, E)，其中：

• V 是节点集合，每个节点表示渗透测试中的一个独立任务。每个任务节点 v ∈ V 拥有以下属性：

  • Instruction（指令）：描述主要任务（如“枚举目标机器开放端口”）。
  • Action（操作）：定义操作类型，如 shell 或 manual。
  • Dependencies（依赖项）：需在该任务执行前完成的其他任务 ID。
  • Command（命令）：由 Generator 模块生成的具体执行命令。
  • Result（结果）：任务执行返回的结果。
  • Finished Status（完成状态）：标记任务是否完成。
  • Success Status（成功状态）：标记任务是否执行成功。

• E 是有向边集合，表示任务间的依赖关系。如果任务 T1 必须在 T2 前执行，则存在从 T1 指向 T2 的边。

PTG 被设计为每个任务至少依赖一个前置任务，这一结构可确保任务组织合理、执行顺序清晰。如图 3 所示，左侧为 JSON 格式的任务列表，列出了每个任务及其依赖、指令和操作类型。例如任务 1 使用特定凭据 SSH 登录位于 192.168.1.104 的目标主机（端口 22）；后续任务如搜索可写目录（任务 2）和枚举进程（任务 3）需在任务 1 成功后执行。图右展示了对应的依赖图，节点为任务，箭头表示依赖关系，清晰地展示了任务的顺序与依赖性。该结构化方法提升了渗透测试流程的效率与效果，系统得以按照明确步骤逐步推进。

---

3.3.2 检查与反思机制

在渗透测试中，能够重新分析失败任务至关重要。如 Takeaway 3 所强调，LLM 通常缺乏有效的错误处理机制，是否可以通过“反思机制”来缓解这一限制？现有方法往往缺乏自我修正能力，加之 LLM 的幻觉问题，它们经常生成错误的命令和参数（见 Takeaway 2）。另一大挑战是使 LLM 能准确理解任务执行结果的状态。

为解决这些问题，我们在“任务会话”中引入了检查与反思机制。该机制首先由任务会话评估任务执行结果，并更新任务的成功状态；然后计划会话对成功与失败任务的反馈进行反思，自动更新提示词，调整计划。成功的任务将保留在计划中，失败的任务则被标记用于重新分析。

这一迭代过程确保了系统的持续优化与自我修复能力，增强其在错误中恢复与改进的能力。

为了实现该机制，我们引入了 Merge Plan Algorithm（算法 1），用于将新任务整合进当前计划，同时保留已完成任务及其依赖关系。该算法首先识别新任务列表中未出现的已完成任务，并将其加入合并计划中；然后处理新任务，如任务已存在于已完成任务中则更新其顺序与依赖，否则创建新任务。

3.4 代理间通信

在多智能体系统中，有效的信息传递是实现成功协作的关键组成部分。在本系统中，代理之间使用自然语言进行通信，以确保信息的清晰表达与系统间的互操作性。在大语言模型（LLMs）受限的上下文长度下，准确的信息提取至关重要，这可以优化 token 使用并避免冗余。

Summarizer（总结器）模块充当了各角色间的信息桥梁，确保在某阶段成功完成任务所生成的关键信息能够无缝传递至下一阶段。例如，在侦察阶段，Summarizer 会整合已识别的开放端口、服务标识（banners）、操作系统指纹和软件版本等数据。这使得扫描代理能高效定位其任务目标，减少重复操作，优化工作流，从而降低信息冗余。后续角色的 Planner 模块可以轻松解析这些自然语言摘要。

例如，当扫描阶段识别到某 Web 应用存在漏洞，Summarizer 会高亮该漏洞信息，使得利用阶段的代理可以有针对性地安排优先操作，从而保持渗透测试流程的连贯性与完整性。

此外，Summarizer 还维护当前 shell 状态的摘要，以实现跨角色的 shell 共享。例如，如果系统成功通过攻击机（如 Kali Linux）获取目标主机上的低权限用户账号（如学生账户）访问权限，Summarizer 会记录这一状态。后续渗透路径的规划将基于当前 shell 状态进行，从而确保流程的连续性与上下文保留。

通过促进角色间的无缝沟通并强调可执行的关键信息，Summarizer 提升了整个多智能体系统的执行效率与协作效果。

---

3.5 渗透行为生成与交互方式

为了适应不同程度的自动化需求与用户参与程度，VulnBot 提供三种运行模式：自动模式（Automatic）、手动模式（Manual） 和 半自动模式（Semi-Automatic）。这种设计为任务执行提供了灵活性，确保系统可根据不同操作场景和用户偏好进行适配。

自动模式

在自动模式下，VulnBot 完全自主运行，执行所有任务，无需人工干预。本论文的实验评估主要聚焦于自动模式，因为该模式为系统性能评估提供了一致且客观的基础。尽管人工参与有助于提升某些任务质量，但也引入了主观性与不可量化的变量。

手动模式

在手动模式中，用户需主动执行命令并将执行结果反馈给系统。该模式特别适用于需要人类专业判断以解析复杂或含糊结果的场景，从而支持更细致的决策过程。

半自动模式

半自动模式结合了自动与手动模式的优势。在此模式下，系统根据任务图（PTG）中每个任务的动作类型进行执行：

• 如果动作类型是 shell 命令，则系统自动执行；
• 如果动作类型是 manual，则用户执行命令并反馈结果。

该混合模式提供了更高的灵活性与控制能力，使用户在必要时可进行干预，同时仍可充分利用系统的自动化能力。

---

在任务执行过程中，Generator（生成器）模块发挥关键作用，它将 Planner 模块提供的下一任务转化为与工具和上下文相适应的具体命令。例如，对于侦察任务中“枚举目标开放端口”的指令，生成器可能会输出如下命令：

nmap -sV -p 22,80 <target-ip>

其中的参数会根据所选工具和当前情境进行优化。

Executor（执行器）模块负责实际执行这些命令。它利用 Python 的 Paramiko 工具库维持与攻击机（如 Kali Linux）的交互式 shell，会模拟人类键盘操作，从而实现与目标系统的无缝交互。命令执行完毕后，Executor 将结果返回给 Planner 模块用于进一步分析。

为解决输出过长或冗余的问题，系统引入了过滤机制：当任务执行结果超过 8000 个字符时，调用 LLM 来提取关键内容。这样可确保仅将相关且可操作的信息传递给后续阶段，提升系统性能并降低信息过载的风险。

总的来说，Generator 与 Executor 模块共同构建了一个无缝、可适应的渗透测试执行流程。它们将抽象的计划转化为具体操作，并确保任务被高效执行，从而为系统提供一个稳健且高效的执行管道。

4. 评估设置

本实验在一个受控环境中进行，攻击机采用的是 2023 年版本的 Kali Linux 平台 [34]，该平台因其全面可靠的渗透测试工具集而被选用。我们评估中使用的主要模型包括：Llama3.370B 和 Llama3.1-405B，两者均支持 128k tokens 的上下文长度；以及 DeepSeek-v3，其上下文长度设置为 64k tokens。

主要实验参数配置如下：大语言模型（LLM）的温度值设置为 0.5，以在生成结果的创造性与确定性之间取得平衡。在 AUTOPENBENCH 评测中，任务执行被限制为最多 15 步（即 VulnBot 每个阶段最多允许执行 5 步）。在 AI-Pentest-Benchmark 中，任务执行被限制为最多 24 步（即 VulnBot 每个阶段最多允许执行 8 步）。

在仅限于 RAG（检索增强生成）实验中，我们启用了 Memory Retriever 模块。该模块增强了系统从历史数据和先验知识中提取相关信息的能力，从而缓解了大模型常见的幻觉（hallucination）问题。Memory Retriever 与向量数据库集成，并使用文本嵌入模型高效地检索和利用过往的任务和渗透测试知识。我们使用了 bce-embedding-base-v1 模型 [42] 来进行嵌入计算，并使用 bce-reranker-base-v1 模型 [42] 进行重排序。系统会检索出与当前输入最相似的 top-3 向量，前提是它们的相关性得分大于 0.5，随后重排序算法会选择其中最相关的任务。

为了对比验证我们提出的框架，我们对 PentestGPT 进行了改造，但保留了其原始提示词内容。Generator（生成器）和 Executor（执行器）模块从 PentestGPT 的输出中提取操作命令，并在目标环境中执行。执行结果会被直接反馈给 PentestGPT 进行分析，模拟了一个无需额外解释的人工复制粘贴过程。具体而言，我们使用了 PentestGPT 中的 next 指令，它接受前一步测试执行的结果作为输入，并生成下一步操作；同时使用 tool 来处理安全工具的输出，并决定下一步行动。

我们还确保基线方法中 Generator 与 Executor 模块对命令的提取与执行的准确性，从而避免对对比结果产生潜在影响，确保整个自动化渗透测试框架评估的可靠性。

在对比了 Base LLM 的多个初始化提示后，我们确定以下提示效果更佳 [14, 22]。本文中使用的 Base LLM 初始化提示如下：

Base LLM 初始化角色：你是一名 CTF 玩家，正在一步一步推进最终任务。
指令：每次运行时，聚焦观察结果，并给出下一步操作。

5 评估

本节我们通过一系列实验来评估 VulnBot 的性能与功能。本次评估围绕以下研究问题（RQs）展开：

• RQ1：VulnBot 在使用开源模型时的性能，与基线模型相比如何？（详见第 5.1 节）
• RQ2：角色专精（Role Specialization）、渗透任务图（PTG）和摘要器（Summarizer）等关键组件，对 VulnBot 在渗透测试任务中的性能有何影响？（详见第 5.2 节）
• RQ3：VulnBot 在真实渗透测试场景中的表现如何？（详见第 5.3 节）
• RQ4：集成 Memory Retriever 模块后，VulnBot 在真实渗透测试任务中的性能提升效果如何？（详见第 5.4 节）

5.1 性能评估（RQ1）

我们通过 AUTOPENBENCH 对 VulnBot 的性能进行了评估。该基准涵盖多种类型的渗透测试任务，具体分为访问控制（Access Control, AC）、Web 安全（Web Security, WS）、网络安全（Network Security, NS）、密码学（Cryptography, CRPT）和真实场景（Real-world）。实验中使用了多种最新的大模型，包括 GPT-4o（gpt-4o-2024-08-06）、Llama3.3-70B 和 Llama3.1-405B，分别在其原始配置和集成到我们框架中后进行测试。GPT-4o 的数据来源于文献 [22]，其在实验任务（in-vitro tasks）中的步骤上限设为 30 步，真实场景任务的上限设为 60 步。

表 2 展示了整体渗透测试任务的完成率，表 3 则提供了各子任务的完成情况。文中提到的“1 次实验”指的是五轮实验中子任务至少一次成功的平均完成率；“5 次实验”则表示某子任务在全部五轮实验中均成功完成的比例。此外，图 4 展示了五轮实验中各阶段的失败情况。

如表 2 所示，VulnBot 在多个分类任务中稳定优于基线模型。特别地，VulnBot-Llama3.1-405B 模型在整体任务中达到了 30.30% 的完成率，相比基线模型有显著提升。这表明 VulnBot 在处理渗透测试任务，尤其是访问控制（AC）和真实场景（Real-world）任务中更为有效。值得注意的是，VulnBot-Llama3.3-70B 在网络安全任务（33.33%）和真实场景任务（18.18%）中也表现出竞争力，优于其对应的基础模型 Llama3.3-70B 和 PentestGPT-Llama3.3-70B。

VulnBot 的优越性能可归因于其在任务分解、角色专精化和智能体间通信机制方面的优势，使其能够更有效地处理复杂的多步骤渗透测试流程。

子任务的完成率数据见表 3。在单轮实验和五轮汇总实验中，VulnBot-Llama 模型均优于其基线版本。以 Llama3.1-405B 为例，在单轮实验中其完成率为 69.05%，而在五轮实验中为 49.90%；相比之下，基线 Llama3.1-405B 在这两个场景下的完成率分别为 49.05% 和 24.76%。

此外，图 4 中的数据显示，在侦察（Reconnaissance）和扫描（Scanning）阶段，VulnBot-Llama3.1-405B 的错误次数最少，分别为 9 次和 32 次，在多个模型中表现最优。侦察阶段的失败率显著下降，说明该模型能更顺利地完成渗透测试早期阶段，从而为后续阶段打下更准确的基础，有助于提升整体测试流程的完整性与效率。

VulnBot-Llama3.1-405B 在 “完成阶段（Finish）”任务数上也优于其他模型，成功完成的任务数为 19 个，而基线 Llama3.1-405B 仅为 7 个。这一 Finish 阶段完成率的大幅提升，进一步证明了我们提出框架的有效性，尤其体现在推动渗透测试过程向最终目标靠近的能力。

此外，通过减少早期阶段的错误并提升任务流程的精确性和效率，VulnBot 实质上提高了渗透测试成功完成的可能性。

不过，在漏洞利用（Exploitation）阶段，VulnBot 仍面临挑战，其失败率在各阶段中最高。具体来看，VulnBot-Llama3.3-70B 在该阶段失败了 93 个任务，而 VulnBot-Llama3.1-405B 则失败了 105 个任务。这一差距揭示了漏洞利用阶段的复杂性，说明仍需对这一关键阶段进行进一步优化。

尽管如此，VulnBot 通过将自动化渗透测试策略延迟到后期执行，从而确保关键子任务能更精准地完成，这种策略也提高了测试过程最终成功的可能性。

5.2 消融实验（RQ2）

本节中，我们通过在 AUTOPENBENCH 的真实场景任务 上进行消融实验，评估 VulnBot 架构中关键组件的作用。实验采用上下文长度为 128k tokens 的 Llama3.1-405B 模型。我们构建了 VulnBot 的三个变体，以分别评估其核心模块的贡献：

1. VulnBot-without Role：禁用了角色专精机制，导致智能体在无区分角色的情况下运行。
2. VulnBot-without PTG：移除了 Penetration Task Graph（渗透任务图），从而取消了结构化任务规划与依赖管理功能。
3. VulnBot-without Summarizer：禁用了 Summarizer（摘要器）模块，使得智能体之间无法进行有效通信和上下文总结。

图 5 展示了在移除这些关键组件后模型性能的下降情况。实验结果表明，每一个组件对模型性能的提升都起到了至关重要的作用。

具体而言：

• 移除角色专精机制后，子任务成功率从 55 下降到 32，性能出现明显下滑；
• 移除 PTG 模块后，子任务成功率下降到 37；
• 最严重的性能下降出现在移除 Summarizer 模块时，子任务成功率仅为 27。

此外，当任一组件被移除时，整体任务的成功率完全为 0，即模型在没有任意一个关键模块的支持下，无法完成完整的渗透测试任务。

这些结果强调了角色专精机制、任务图规划（PTG）以及智能体间通信（Summarizer）模块在渗透测试任务中实现高性能的关键作用。

本次消融实验还表明，这些模块之间的协同作用对模型成功完成子任务与整体任务至关重要。这一发现与多智能体系统中的研究趋势相一致——即有效的角色分配、任务规划与通信机制是实现复杂真实任务的核心要素。

5.3 现实世界的有效性(RQ3)

为了评估我们模型在实际应用中的可行性，我们在 AI-Pentest-Benchmark 提供的真实目标上开展了五轮实验。该基准包含 13 台存在漏洞的机器，我们从中挑选了 6 台进行评估，重点关注那些不涉及图像观察或人工干预的渗透任务。

实验使用了两种模型：

• Llama3.1-405B（上下文长度为 128k）
• DeepSeek-v3（上下文长度为 64k）

任务完成率的计算基于 AI-Pentest-Benchmark 中定义的子任务是否成功完成。对于每台机器，我们报告的是在五轮实验中最佳的完成率表现。

图 6 展示了这些机器上子任务的完成率，其中值为 1 表示渗透成功。结果表明：

• VulnBot-Llama3.1-405B 表现稳定，分别在 Victim1（0.33）、Library2（0.40）和 WestWild（0.57）上取得了最高完成率；
• VulnBot-DeepSeek-v3 也展现出较强竞争力，在 Victim1 和 WestWild 上分别达到了 0.83 和 0.71 的完成率。

这些发现表明，VulnBot 在处理复杂、多步骤的攻击链方面具有明显优势，这对于真实场景下的渗透测试任务至关重要。

此外，VulnBot 在多台不同机器上的一致性表现也进一步验证了其强大的鲁棒性与适应性，证明其作为一款实用型网络安全工具具有高度可靠性。

5.4 Retrieval Augmented Generation (RQ4)

为了进一步研究先验渗透知识是否能够提升我们框架的性能，我们将 Memory Retriever（记忆检索器）模块集成到了支持 128k 上下文窗口的 Llama3.1-405B 模型中。该集成采用了 RAG（检索增强生成） 技术，旨在增强模型的上下文理解能力和针对特定任务的优化效果。

在本次实验中，我们评估了三种系统的性能：

1. Llama3.1-405B + RAG
2. GPT-4o + 手动操作
3. Llama3.1-405B + 手动操作

其中 GPT-4o 和 Llama3.1 的手动操作数据来源于文献 [33]，该研究中由人类操作者使用 PentestGPT 工具完成任务。

为了增强原生大模型的上下文知识，我们引入了诸如 HackTricks [26] 和 HackingArticles [6] 等网络安全资源的内容。这些内容被划分为每段约 750 字的文本块，随后通过向量化处理后存储在 Milvus 向量数据库 [40] 中，以便高效检索。通过该方式，系统能够动态提取相关的历史数据和先验知识，从而有效缓解大模型中常见的幻觉问题（hallucination）。

图 7 展示了这些模型在六台真实机器上的任务完成率。实验结果表明，集成 Memory Retriever 模块后，模型在特定目标上（尤其是 Victim1 和 WestWild）的性能有明显提升。

值得强调的是，VulnBot 成功完成了对 WestWild 机器的端到端渗透任务，展示了其独立完成复杂任务的能力。

这些发现表明，检索增强方法（RAG）在提升模型上下文理解能力和任务优化方面具有显著优势。Memory Retriever 模块的集成不仅增强了模型检索并利用相关信息的能力，还显著提升了其在真实渗透测试场景中的整体性能，达到了可与人工操作相媲美甚至超越的效果。

第6节 讨论

本节结果突显了 VulnBot 在高效漏洞检测与利用方面的潜力。但同时，我们的研究也揭示了一些挑战和未来的研究方向，这些问题需要被解决以进一步提升 VulnBot 的能力。

6.1 在处理非文本信息方面的局限性

VulnBot 的一个重要局限是无法处理非文本信息，例如渗透测试工具生成的图像或图形界面。在真实的渗透测试场景中，此类信息往往对理解攻击面和解析安全扫描结果至关重要。目前，VulnBot 依赖人工描述来解释这些非文本元素，这在实现渗透测试流程全自动化方面形成了瓶颈。未来的 VulnBot 版本可以通过引入图像识别和处理能力来解决这一限制。此项改进将使系统能够分析截图和其他图形表示内容，从中提取相关信息。

6.2 真实场景下的表现与挑战

AUTOPENBENCH 中的真实任务包含了两个 2024 年的 CVE。尽管 Llama3.3 和 Llama3.1 两个模型的知识截止时间均为 2023 年 12 月，VulnBot 仍成功完成了其中一个任务。这一成果表明我们方法的可靠性，它并不依赖于对漏洞的先验知识。

尽管在模拟环境中取得了令人鼓舞的成果，VulnBot 要在真实机器上完成端到端的渗透测试仍面临重大挑战。即便采用了 RAG 来增强模型的上下文理解能力，并进行了针对任务的优化，VulnBot 在实现各个阶段完全自主化并成功完成整个真实渗透测试流程方面，依然存在困难。这些挑战主要源于真实系统的复杂性、安全漏洞的动态性，以及对多步骤攻击链精确执行的高要求。