Hadrian開源AI漏洞研究框架OpenHack,可搭配Claude Code與Cursor執行白箱安全審查

來源: iThome | 日期: 2026-05-29 | URL: https://www.ithome.com.tw/news/176210

內容摘要

荷蘭資安公司 Hadrian 開源 OpenHack,一個基於多代理人(Multi-Agent)工作流程的 AI 漏洞研究框架,用於自動化原始碼安全審查與白箱滲透測試

背景與成效

  • Hadrian 成立於 2021 年,總部位於阿姆斯特丹,專注於攻擊面管理(ASM)與自動化滲透測試
  • 曾分析荷蘭政府機關使用的 10 多個開源應用程式,數小時內發現數百項漏洞
  • 最嚴重漏洞可曝露伺服器憑證並存取底層 Azure 資料庫

核心問題

直接要求 LLM 閱讀整個程式碼庫並找漏洞 → 大量誤判:不存在的漏洞、錯誤解釋、無法驗證的結果

多代理人工作流程

代理人職責
偵察代理人 (Recon Agent)找出可能的攻擊面
路由代理人 (Router Agent)轉換為特定測試情境
專家代理人 (Expert Agent)針對不同漏洞類型驗證
複核代理人 (Triage Agent)獨立重新審查結果

關鍵設計: 提出漏洞的代理人無法自行確認漏洞成立,必須經另一獨立代理人驗證,且每個階段需取得人工批准

主要特色

  • 支援 Claude Code、Codex、Cursor 等 AI 程式代理工具
  • 內建 12 種安全專家代理人,對應 OWASP Top 10 2025MITRE CWE
  • 涵蓋:權限控管、注入攻擊、密碼學錯誤、供應鏈安全、路徑穿越等
  • 所有階段結果保存為一般檔案,可追蹤與稽核
  • GitHub:https://github.com/hadriansecurity/OpenHack

衍生頁面