前言
抛开大模型的 Token 成本不谈,让 AI 进行全自动漏洞挖掘,我们只需最后做人工复核,确实能解放双手。本文基于开源项目 AutoHunter 实践一次 EduSRC 场景下的环境搭建与单站点漏洞挖掘,看看效果如何。
环境搭建
AutoHunter 是一个多 Agent 协同的自动化漏洞挖掘系统,你把一台机器交给它当作7×24小时不间断的挖洞平台,自己只做“人工复审员”。它的工作流大致如下:
Collector(搜集) → Worker(1:1 真实挖洞) → Reviewer(AI 初审去垃圾) → 人工复审 → 待提交
↑ FOFA/手动录入目标 ↑ LLM + 真实工具链(nmap/nuclei/sqlmap/httpx/JS 分析…)
各组件职责清晰:
- Collector:从 FOFA 持续产出目标,探活、预筛、评分、归属标注后入队。
- Worker:每个目标一个 Worker,LLM 自主侦察 + 调用真实工具挖洞,出洞即提交。
- Reviewer:极理性 AI 初审,过滤半成品/误报,只把够格的漏洞送到人工面前。
- 控制台:实时看板一眼看清每个 Worker 在干什么、目标优先级、事件流;结果区高效复审、编辑、标记提交。
- 归属标注:写报告时按目标 IP/域名离线反查所属高校(
app/data_static/edu_ip.db),自动填充报告归属单位与 EduSRC 提交 JSON 的标题/单位。
安装示例(Windows + WSL2)
作者提供了全平台支持,这里以 Windows 为例。
-
装 WSL2(管理员 PowerShell):
wsl --install
装完重启。
-
装 Docker Desktop:安装时勾选 “Use WSL 2 based engine”,启动后在 Settings → Resources → WSL Integration 中打开集成。
-
拉代码 + 部署(在 WSL 终端或 Git Bash 里执行):
git clone https://github.com/StanleyNull/AutoHunter.git autohunter
cd autohunter
bash scripts/install.sh
如果只想用 PowerShell,也可以走手动部署:
copy .env.example .env
# 编辑 .env 后执行
docker compose up -d --build
-
浏览器访问 http://localhost:18800/。
> 💡 建议把代码放在 WSL 文件系统内(如 ~/autohunter),比放在 C:\ 挂载盘性能好很多。
使用 Claude 辅助安装
如果懒得逐条敲命令,可以把上述步骤保存为 1.txt,然后让 Claude 帮你完成:
claude --dangerously-skip-permissions
输入指令:
我想要安装autohunter,读取1.txt文件,利用已有环境,帮我安装完成,如果需要其他环境配置,可以自行安装
安装完成后,系统会提示缺少 LLM API Key。打开 DeepSeek 开放平台 创建一个 API Key,然后回到 Claude 执行:
帮我把这个key配置一下,sk-9973a8c94,然后告诉我使用方法
容器重建后,环境即全部就绪。
渗透测试:单站点漏洞挖掘
进入控制台
访问 http://localhost:18800,输入安装时生成的访问令牌登录。
新建任务
点击「新建任务」:
- 任务名称:随意(如
test1111)
- 目标来源:四种模式可选
- FOFA 自动搜:需要配置 FOFA Key,直接给语法就行
- 手动清单:一行一个 URL
- 两者:两者并用
- 单站协作:输入单一 URL,协同攻击
- 漏洞类型:勾选要检测的类型,例如
sql_injection,rce,unauthorized_access,idor,file_upload,captcha_bypass
这里因为 Token 预算有限,选择「单站协作」,填入一个之前遇到过的登录框目标 URL,保持默认审核规则,创建任务。
工作流与实时看板
任务启动后,可以看到三阶段的协同流程:
- 侦察盘点:通过
site_map、site_js 摸清全站入口、API 与前端密钥。
- 主题深挖:认证越权、未授权配置、文件操作、注入/RCE、业务逻辑等五路分头深挖。
- 定向追打:围绕侦察发现的具体 API 逐项验证打穿。
在「实时看板」中可以查看每个 Worker 的日志,在「复审队列」中可以看到已产出的漏洞。
漏洞验证
本文测试至少跑出了三个漏洞,重点关注以下两个:
1. 前端 JS 硬编码 Token
前端文件 front_main.js 中硬编码了完整的 x-token 认证令牌。攻击者可直接用它访问所有管理后台 API 接口。
2. 管理员/用户密码哈希泄露
利用第一个漏洞获取的 token 访问 AdminGetUsersOfficialListURL 接口,成功导出管理员及系统所有用户的密码哈希、姓名、手机号、学校 ID 等敏感数据。
AI 审核结论也给出了完整的攻击链路:JS 审计 → 凭证提取 → 未授权访问验证,证据充分。
此外,平台还提供了「全局硬骨头库」,用于汇总那些多次尝试仍无法打穿的目标,方便复盘和判断收敛质量,设计上比较合理。
总结
总体来看,AutoHunter 在单站协作场景下表现不错,能够自动完成从侦察到漏洞验证的完整流程,并通过 AI 初审过滤掉大量误报。如果配置好 FOFA API Key 并结合批量 URL,完全可以实现 7×24 无人工干预的全自动挖掘。
不过要注意成本控制。以本次测试为例,仅扫描一个目标约 33% 的进度,DeepSeek 的 Token 消耗就不算低。如果长期大规模跑 EDU 漏洞,建议仔细核算大模型费用,或者寻找性价比更高的 API 方案。