渗透测试通常需要几周的手工工作、专业工具和技能组合狭窄的团队。Lyrie是OTT网络安全构建的开源自主安全代理,将该过程压缩为命令行工具,并发布整个代码库。
该项目本月达到了3.1.0版本。该版本增加了用于敏感威胁数据的XChaCha20-Poly1305内存加密,七个新的概念验证生成器,包括提示注入、身份验证旁路、CSRF、开放重定向、竞赛条件、秘密曝光和跨站点执行,以及三个新的深度扫描仪,用于Rust分析、污染引擎处理和人工智能驱动的代码审查。存储库现在包含25个经过测试的命令,涵盖核心安全操作、二进制分析、治理和自我改进工作流程。
两个组件,一个安装
Lyrie分为两个可安装的软件包。lyrie-omega是一个处理扫描、渗透测试和红色团队的Python CLI。@lyrie/atp是一个TypeScript和Node.js SDK,它实现了代理信任协议,这是一个在运行时建立AI代理身份的加密标准。两者都从单个单行脚本安装,或通过pip和npm单独安装。
由lyrie hack触发的核心渗透测试工作流程运行一个七阶段的管道:侦察、指纹、扫描、利用、概念验证生成和报告输出。该工具针对实时URL和本地源树,并以SARIF格式输出GitHub代码扫描的发现。AI红队模块支持针对LLM端点的五种攻击策略,包括需要H200 GPU基础设施的基于梯度的后缀攻击。
代理信任协议
代理信任协议解决了自主人工智能代理如何验证自己以及将范围传达到与之交互的系统方面的差距。部署发送电子邮件、执行代码或授权交易的代理的企业没有验证代理身份或检查代理指令是否被篡改的标准机制。
ATP使用Ed25519签名,并支持授权链、撤销列表和多签名配置。验证系统可以实时确认代理是谁,授权做什么,以及其权限是否已被撤销。该规范包含143项通过测试,并计划提交给互联网工程工作组。
Lyrie在GitHub上免费提供。
原文链接地址:https://www.helpnetsecurity.com/2026/05/18/lyrie-ai-autonomous-pentesting-agent/
