arXiv:2505.10321v1 通知类型: 横向渗透测试 摘要: 最近的研究热点之一是在渗透测试中使用大语言模型（LLMs），这有望降低成本并因此增加测试频率。我们对相关工作进行了审查，明确了最佳实践和常见的评估问题。然后，我们引入了AutoPentest，这是一个基于高自主性的应用程序，用于执行黑盒渗透测试。AutoPentest基于OpenAI的GPT-4o大语言模型和LangChain大语言模型代理框架，能够执行复杂的多步骤任务，并可辅以外部工具和知识库。我们对三个夺旗风格的Hack The Box（HTB）机器进行了研究，将我们的实现AutoPentest与手动使用ChatGPT-4o用户界面的基本方法进行了比较。两种方法都能完成HTB机器上15-25%的子任务，与ChatGPT相比，AutoPentest略占优势。在所有实验中使用AutoPentest的总成本为96.20美元，而一个月的ChatGPT Plus订阅费用为20美元。结果显示，进一步的实现努力以及未来更强大的LLM的使用，有望使这一方法成为漏洞管理的一部分。