一、导语:当本地AI代码智能体成为红队运算中枢

2026年7月,一款名为 T3MP3ST(读作 "TEMPEST")的开源框架在GitHub上线,迅速引发 offensive security 社区的高度关注。它的激进主张在于:不训练专属模型,不索取额外API密钥,而是将用户本地已经登录运行的AI代码智能体——无论是 Claude Code、OpenAI Codex、Hermes,还是通过 Ollama / LM Studio 自托管的本地模型——直接转化为自主红队作战单元。

T3MP3ST 本质上是一个多智能体调度层(multi-agent orchestration layer)。它不做漏洞扫描本身,而是构建了一套围绕AI智能体的任务编排、工具调用、证据管理与OPSEC控制的完整作战体系。框架沿「信息搜集 → 漏洞利用 → 报告输出」的完整杀伤链(Kill Chain)调度多组AI智能体协同作业,目标可以是一个Web应用、一个固件镜像、一段智能合约源码,或一场CTF竞赛题目。

本文将从架构设计、Operator模型、工具生态、基准测试、技术局限与伦理边界五个维度,对T3MP3ST进行系统性技术解构。


二、框架架构设计:事件驱动的分层作战体系

2.1 核心拓扑

T3MP3ST 采用经典的分层事件驱动架构,中央指挥单元 TempestCommand(基于 EventEmitter 扩展,约1039行TypeScript)作为系统心脏,以每秒1次的 tick 频率驱动整个任务循环 [1]

┌─────────────────────────────────────────────────────────────┐
│                    T3MP3ST COMMAND                          │
│              (TempestCommand 中央调度器)                      │
├─────────────────────────────────────────────────────────────┤
│  MISSION CONTROL  ◄──  TARGET MODEL  ──►  ARSENAL (TOOLS)   │
│                         ▲                                   │
│  AGENT CELL: RECON · SCANNER · EXPLOITER · INFILTRATOR ·    │
│              EXFILTRATOR · GHOST · COORDINATOR · ANALYST    │
│                         ▲                                   │
│  EVIDENCE VAULT · CREDENTIAL STORE · FINDINGS LEDGER        │
│                         ▲                                   │
│  OPSEC LAYER · COMMS CHANNEL · LLM BACKBONE                 │
└─────────────────────────────────────────────────────────────┘

2.2 关键子系统

子系统 源码位置 职责
TempestCommand src/index.ts 生命周期管理、tick执行循环、事件转发、情报同步
OperatorCell src/operators/index.ts 智能体池管理、生成/销毁、状态聚合、原型查询
MissionControl src/mission/index.ts 任务队列、阶段转换、目标追踪、RoE(交战规则)执行
TargetEnvironment src/target/index.ts 攻击面建模、目标状态机(discovered → scanning → vulnerable → exploited → owned)
EvidenceVault src/evidence/index.ts 发现物存储、凭证管理、CVSS评分、证据链溯源
Arsenal src/arsenal/index.ts 工具注册表、分类过滤、执行历史、工具链编排
LLMBackbone src/llm/index.ts 多Provider抽象、模型回退链(fallback chain)、token预算控制

2.3 Keyless设计理念

T3MP3ST 最具颠覆性的设计之一是 Keyless(无密钥)模式。传统自动化渗透平台需要用户配置 OpenAI API Key、Anthropic Key 或其他云模型凭证,而T3MP3ST允许用户直接在 Web UI 的 Settings 中连接本地已运行的AI代码智能体(如 Claude Code 或 Codex CLI)。这些智能体本身已经通过各自的官方CLI完成身份认证,T3MP3ST仅需通过本地进程间通信或MCP(Model Context Protocol)标准接口将其接入框架。

这意味着:

  • 零额外API开销:不需要为T3MP3ST单独购买API额度;
  • 零密钥泄露面:不存在将新密钥注入第三方框架的风险;
  • 模型中立性:用户可自由切换底层模型,框架本身与模型解耦。

当然,框架也支持传统模式:通过环境变量注入 OPENROUTER_API_KEYANTHROPIC_API_KEYVENICE_API_KEY 等,直接调用远程模型。


三、8-Operator技术解析:映射MITRE ATT&CK的杀伤链智能体

T3MP3ST 将渗透测试工作流程抽象为 8种Operator原型(Archetype),每种对应网络杀伤链(Cyber Kill Chain)与 MITRE ATT&CK 框架的特定阶段。每个Operator都是 OperatorAgent 的实例,具备独立的身份(UUID + Callsign)、状态机、系统提示词(System Prompt)和工具偏好。

3.1 Operator状态机

 assignTask()
 idle ───────────> tasked ──────> executing
  ^                                |
  |                                v
  +──── cooldown <────────── (task complete)
  |
  +──── burned <────── (detection risk exceeded)
  • detection risk:每次任务失败累积0.1风险值,超过 maxDetectionRisk 后Operator被标记为 burned(报废);
  • cooldown:任务完成后进入冷却期,默认5秒,隐身配置下可延长至30秒;
  • AgentLoop(ReAct):每个Operator可挂载LLM + Arsenal组成的ReAct循环,最多15轮迭代,单任务token预算50K。

3.2 八原型与MITRE映射

Operator 杀伤链阶段 MITRE战术 技术职能 状态
Recon Reconnaissance TA0043 OSINT、DNS枚举、子域名发现、端口扫描、资产测绘 稳定 ✅
Scanner Discovery TA0007 漏洞扫描、服务指纹、配置审计 稳定 ✅
Exploiter Initial Access TA0001, TA0002 漏洞利用开发、Payload投递、初始接入 实验性 ⚠️
Infiltrator Lateral Movement TA0008, TA0004 权限提升、横向移动、凭证访问 实验性 ⚠️
Exfiltrator Collection / Exfiltration TA0009, TA0010 数据收集、渗出、暂存 staging 实验性 ⚠️
Ghost Persistence TA0003, TA0005 持久化、反取证、清理痕迹 实验性 ⚠️
Coordinator Command & Control TA0011 任务编排、决策中枢、C2通信 实验性 ⚠️
Analyst Reporting 模式分析、报告生成、风险评估 稳定 ✅

关键诚实声明:Recon与Scanner是当前唯一经过大规模基准测试验证的稳定引擎。Exploiter至Coordinator下游Operator虽然运行与Recon完全相同的真实工具驱动ReAct循环(非stub/mock),但端到端(end-to-end)的8智能体协同杀伤链尚未通过系统性 benchmark 验证。当前所有 headline 基准成绩(XBEN 90.1%、Cybench 58% 等)均来自单智能体ReAct回路,而非完整8-Operator swarm [2][1:1]

3.3 团队工厂(Team Factories)

框架内置多种预设团队模板,用户可一键生成不同作战风格的Operator编队:

  • createBalancedTeam():8原型各1名,通用型任务;
  • createStealthTeam():Recon + Scanner + Ghost,低检测阈值;
  • createBreachTeam():2×Exploiter + Infiltrator + Exfiltrator,激进突防;
  • createAPTTeam():模拟高级持续性威胁(Advanced Persistent Threat);
  • createCloudTeam():云环境专项作战编队。

四、工具集成生态:从35款默认武器库到83款全量军械库

T3MP3ST 的武器库(Arsenal)采用三层分级策略:默认即插即用、opt-in需显式解锁、approval-gated需人工逐次审批。这种设计在功能开放与操作安全之间建立了清晰的治理边界。

4.1 工具分级体系

层级 数量 激活条件 代表工具
Default(默认) 35款 无需额外flag,开箱即用 31款内置 + 4款外部CLI封装
Opt-in(可选) 48款 设置 T3MP3ST_FULL_ARSENAL 环境变量 nuclei、subfinder、sqlmap、semgrep、slither、john、radare2 等
Approval-gated(审批) 若干 opt-in + 人工逐调用审批 + 本地CLI已安装 Metasploit (msfconsole)、Hydra、BloodHound

总数验证:35(默认)+ 48(opt-in适配器)= 83款,该数字可通过仓库内 npm run verify-claims 命令从提交JSON中重新推导 [2:1]

4.2 默认工具分类详表

类别 工具示例 功能域
网络侦察 dns_lookupport_scansubdomain_enumwhois_lookup DNS解析、端口扫描、子域名爆破、WHOIS查询
Web测试 http_requestheader_analysistechnology_detectdir_bruteforce HTTP交互、安全头分析、技术栈指纹、目录爆破
漏洞探测 xss_scansqli_scanssl_scanvuln_scan XSS/SQLi/TLS配置/综合漏洞探测
凭证与加密 password_sprayhash_crackjwt_decodebase64_decode 密码喷洒、哈希破解、JWT分析、编码解码
情报搜索 exploit_search Exploit-DB等漏洞库检索
外部CLI封装 nmap_scannuclei_scanffuf_fuzzcurl_request 调用本地安装的nmap、Nuclei、ffuf、curl

4.3 Opt-in扩展工具集(48款)

领域 工具
Web/网络 nuclei、subfinder、httpx、naabu、katana、ffuf、gobuster、feroxbuster、nikto、dalfox、sqlmap
代码/密钥审计 semgrep、gitleaks、trufflehog、trivy、grype、osv-scanner、checkov
智能合约 slither、mythril、echidna、foundry、solhint
二进制/固件/移动 openssl、john、hashcat、radare2、apktool、jadx、exiftool、binwalk、yara

需要特别强调的是,Metasploit 和 Hydra 等高危工具被明确标记为 riskTier: dangerous,处于人工审批门控之下。T3MP3ST 并非无限制的工具发射器,其设计哲学中包含了明确的授权边界(Scope Containment):一旦任务目标设定,内置网络工具默认拒绝访问目标及子域名以外的公共主机,包括回环地址与私有网段,返回 SCOPE DENIED [2:2]


五、基准测试评估:可复现的量化成绩单

T3MP3ST 在宣传中极度强调 Reproducibility(可复现性)。仓库中每一个 headline 数字都可通过 npm run verify-claimsbench/ 目录下已提交的JSON结果中重新计算,且该命令在CI中保持20/20全绿。这种「可复现优先」的方法论在AI安全工具领域极为罕见。

5.1 三大基准测试对比

测试套件 结果 测试条件 对比基准
XBEN — 104题黑盒挑战,pass@1 90.1%(Wilson-95置信区间 86.2%–92.9%),floor 91/104 模型:gpt-5.5;单次尝试 XBOW自报同套件85%;T3MP3ST在Wilson下限仍超越对手
XBEN — 白盒(单独报告) 98.7% pass@1,best-ball 104/104 源代码可见 不与黑盒数字混合报告
Cybench — 40题学术CTF 23/40(58%) Opus 4.8,无提示词(hint-free),单次pass@1 Anthropic官方 pass@10 76.5%;T3MP3ST为严格pass@1,且仅计算可达子集(18/31=58%)
CVE-Zero — 10个真实2026年后CVE冷启动狩猎 8/10 严格命中(精确文件/行号/CWE)
10/10 发现漏洞
目标日期在模型训练截断点之后,排除记忆效应 零样本(zero-shot)真实漏洞挖掘能力验证

5.2 结果解读方法论

  • Live Exploit Enforcement:每一个被标记为"已解决"的flag都必须来自真实可利用漏洞(live exploit),而非猜测或伪造。框架内置 anti-fitting guard,每次提交时自动运行,杜绝数据污染 [2:3]
  • 黑盒/白盒分离报告:黑盒(源码不可见)与白盒(源码可见)结果分别列出,从不混合计算,避免 apples-to-oranges 的比较陷阱。
  • 单智能体 vs Swarm 诚实声明:上述成绩均由单智能体ReAct回路完成,非8-Operator协同 swarm。8-Operator的端到端协同 exploitation 仍处于实验阶段,尚未形成可报告的基准数字 [1:2]
  • System-vs-System 比较:T3MP3ST的成绩是「框架+当前强模型」的系统级成绩,而非孤立框架的声明。

5.3 CVE-Zero 的 memorization-proof 设计

CVE-Zero 测试选取了 2026年披露的真实CVE,即模型训练数据截断点之后出现的漏洞,从根本上排除了「记忆漏洞答案」的可能性。10个目标全部被发现漏洞,其中8个精确命中漏洞所在文件、代码行号及CWE分类。这一结果证明:T3MP3ST harness 驱动的AI智能体具备对训练时未知漏洞模式的泛化发现能力,而不仅仅是对已知漏洞的检索或复现。


六、技术局限与伦理边界

T3MP3ST 的维护者在文档中表现出罕见的技术诚实(technical honesty),明确区分了「已验证能力」与「架构愿景」。

6.1 当前技术局限

局限项 说明
Swarm未经验证 8-Operator端到端协同杀伤链仍不可靠,当前成绩全部来自单智能体循环
Exploiter/Infiltrator等下游Operator 虽然运行真实工具驱动的ReAct引擎,但尚无系统性benchmark证明其在全链中的稳定性
白盒源码分析 目前仅支持Python正则提取式ingest,多模型分解成本未优化,标记为实验性
DeFi智能合约 当前仅能复现已知漏洞类别(Damn Vulnerable DeFi),不具备novel discovery能力
高级模块 Cloud安全、持久化、Swarm认知等模块仅存在于 src/stubs/ 接口占位阶段
自改进回路 可记录教训与提案,但尚未实现将历史经验反馈到未来任务规划的闭环

6.2 伦理与安全治理

T3MP3ST 在 SECURITY.mdSCOPE_AND_AUTHORIZATION 文档中建立了严格的授权模型 [2:4][3]

  • 目标锁定机制(Egress-scope containment):默认开启,工具拒绝访问非目标/非子域名的公共主机;
  • 交战规则(RoE):内置 createDefaultRoE()createStrictRoE(),支持范围限制、禁用的技术清单、检测阈值、地理与时间限制;
  • 协调披露管道(Coordinated-disclosure pipeline):针对固件/IoT/OT漏洞发现,框架内置 OSV新颖性校验 + 实时PoC生成 + 反驳者面板(refuter panel)+ CVSS评分,但最终报告仅限草稿状态,必须由人工发送给厂商
  • 核心非协商原则:"One rule, non-negotiable: everything here is for authorized testing only. Owned, scoped, or consenting targets. Build for defenders, or don't build it here." [2:5]

七、个人技术观点

T3MP3ST 的出现标志着AI驱动的 offensive security 工具正在从「概念验证」迈向「工程化框架」。以下是我认为该框架最具价值与最具争议的技术判断:

7.1 架构层面的先进性

调度层而非模型层的定位是T3MP3ST最明智的设计决策。在AI安全社区普遍追逐「训练专属渗透大模型」的浪潮中,Pliny选择承认一个事实:当前前沿代码模型(Claude、GPT-4o、Grok等)已经具备足够的漏洞推理能力,瓶颈不在于模型智商,而在于如何安全、可控、可审计地调用工具、管理上下文、维护证据链。T3MP3ST解决的是「 harness 问题」,而非「模型问题」,这使得它能以极低成本(零额外API费用)接入未来任何更强的模型。

7.2 Keyless模式的战略意义

Keyless设计不仅降低了使用门槛,更重要的是将信任边界留给了用户。用户无需将API密钥交给一个第三方安全框架,而是让框架依附于用户已信任的环境中(如已登录的Claude Code CLI)。这在安全工具的「可用性-可信性」权衡中,是一个值得同行借鉴的设计范式。

7.3 诚实的工程文化

T3MP3ST在README中直接用状态表区分 ✅ Stable / ⚠️ Experimental / Planned,并公开承认 headline 数字来自单智能体而非完整swarm。这种「 Loud where we've earned it, blunt about the rest」的工程文化,比那些将架构愿景与实测能力混为一谈的项目更具长期可信度。

7.4 潜在风险与批评

  • 单智能体成绩的可迁移性:当前90.1%的XBEN成绩是在特定模型(gpt-5.5)与单智能体回路下达成的,用户若接入较弱本地模型(如7B参数级),实际表现可能断崖式下降;
  • 审批门控的可绕过性:虽然Metasploit等工具需要人工审批,但本地有权用户始终可以绕过框架直接调用这些工具。框架的治理机制是善意设计,而非技术强制
  • 自动化杀伤链的社会工程风险:即使技术局限明确,T3MP3ST仍可能被恶意用于未授权测试。框架的安全最终取决于使用者的法律与道德约束,而非代码层面的绝对限制。

八、参考来源


网络安全免责声明

本文对T3MP3ST框架的分析仅出于技术研究、学术交流与防御能力建设之目的。T3MP3ST及同类工具应当且仅应当用于以下场景:

  1. 已获得书面授权的渗透测试
  2. 拥有完全所有权的系统
  3. 明确 consent 的CTF竞赛或实验环境
  4. 协调漏洞披露(CVD)流程中的合法研究

任何将本文所述技术、工具或方法用于未经授权访问计算机系统、网络或数据的行为,均可能违反《中华人民共和国刑法》第二百八十五条、第二百八十六条以及各司法管辖区的相关法律。作者强烈谴责一切非法网络攻击行为,并呼吁安全社区坚持「防御优先、授权先行、披露有责」的职业伦理。技术本身是中立的,但技术的使用永远具有道德与法律边界。请勿将T3MP3ST或任何其他攻击性安全工具用于非法目的。


  1. elder-plinius. T3MP3ST Technical Whitepaper (WHITEPAPER.md). Version 1.0, February 2026. https://github.com/elder-plinius/T3MP3ST/blob/main/WHITEPAPER.md (accessed 2026-07-09). ↩︎ ↩︎ ↩︎

  2. elder-plinius. T3MP3ST: A multi-agent offensive-security framework. GitHub repository, 2026. https://github.com/elder-plinius/T3MP3ST (accessed 2026-07-09). ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎

  3. elder-plinius. T3MP3ST Feature Documentation (FEATURES.md). https://github.com/elder-plinius/T3MP3ST/blob/main/FEATURES.md (accessed 2026-07-09). ↩︎