一、导语:当本地AI代码智能体成为红队运算中枢
2026年7月,一款名为 T3MP3ST(读作 "TEMPEST")的开源框架在GitHub上线,迅速引发 offensive security 社区的高度关注。它的激进主张在于:不训练专属模型,不索取额外API密钥,而是将用户本地已经登录运行的AI代码智能体——无论是 Claude Code、OpenAI Codex、Hermes,还是通过 Ollama / LM Studio 自托管的本地模型——直接转化为自主红队作战单元。
T3MP3ST 本质上是一个多智能体调度层(multi-agent orchestration layer)。它不做漏洞扫描本身,而是构建了一套围绕AI智能体的任务编排、工具调用、证据管理与OPSEC控制的完整作战体系。框架沿「信息搜集 → 漏洞利用 → 报告输出」的完整杀伤链(Kill Chain)调度多组AI智能体协同作业,目标可以是一个Web应用、一个固件镜像、一段智能合约源码,或一场CTF竞赛题目。
本文将从架构设计、Operator模型、工具生态、基准测试、技术局限与伦理边界五个维度,对T3MP3ST进行系统性技术解构。
二、框架架构设计:事件驱动的分层作战体系
2.1 核心拓扑
T3MP3ST 采用经典的分层事件驱动架构,中央指挥单元 TempestCommand(基于 EventEmitter 扩展,约1039行TypeScript)作为系统心脏,以每秒1次的 tick 频率驱动整个任务循环 [1]。
┌─────────────────────────────────────────────────────────────┐
│ T3MP3ST COMMAND │
│ (TempestCommand 中央调度器) │
├─────────────────────────────────────────────────────────────┤
│ MISSION CONTROL ◄── TARGET MODEL ──► ARSENAL (TOOLS) │
│ ▲ │
│ AGENT CELL: RECON · SCANNER · EXPLOITER · INFILTRATOR · │
│ EXFILTRATOR · GHOST · COORDINATOR · ANALYST │
│ ▲ │
│ EVIDENCE VAULT · CREDENTIAL STORE · FINDINGS LEDGER │
│ ▲ │
│ OPSEC LAYER · COMMS CHANNEL · LLM BACKBONE │
└─────────────────────────────────────────────────────────────┘
2.2 关键子系统
| 子系统 | 源码位置 | 职责 |
|---|---|---|
| TempestCommand | src/index.ts |
生命周期管理、tick执行循环、事件转发、情报同步 |
| OperatorCell | src/operators/index.ts |
智能体池管理、生成/销毁、状态聚合、原型查询 |
| MissionControl | src/mission/index.ts |
任务队列、阶段转换、目标追踪、RoE(交战规则)执行 |
| TargetEnvironment | src/target/index.ts |
攻击面建模、目标状态机(discovered → scanning → vulnerable → exploited → owned) |
| EvidenceVault | src/evidence/index.ts |
发现物存储、凭证管理、CVSS评分、证据链溯源 |
| Arsenal | src/arsenal/index.ts |
工具注册表、分类过滤、执行历史、工具链编排 |
| LLMBackbone | src/llm/index.ts |
多Provider抽象、模型回退链(fallback chain)、token预算控制 |
2.3 Keyless设计理念
T3MP3ST 最具颠覆性的设计之一是 Keyless(无密钥)模式。传统自动化渗透平台需要用户配置 OpenAI API Key、Anthropic Key 或其他云模型凭证,而T3MP3ST允许用户直接在 Web UI 的 Settings 中连接本地已运行的AI代码智能体(如 Claude Code 或 Codex CLI)。这些智能体本身已经通过各自的官方CLI完成身份认证,T3MP3ST仅需通过本地进程间通信或MCP(Model Context Protocol)标准接口将其接入框架。
这意味着:
- 零额外API开销:不需要为T3MP3ST单独购买API额度;
- 零密钥泄露面:不存在将新密钥注入第三方框架的风险;
- 模型中立性:用户可自由切换底层模型,框架本身与模型解耦。
当然,框架也支持传统模式:通过环境变量注入 OPENROUTER_API_KEY、ANTHROPIC_API_KEY、VENICE_API_KEY 等,直接调用远程模型。
三、8-Operator技术解析:映射MITRE ATT&CK的杀伤链智能体
T3MP3ST 将渗透测试工作流程抽象为 8种Operator原型(Archetype),每种对应网络杀伤链(Cyber Kill Chain)与 MITRE ATT&CK 框架的特定阶段。每个Operator都是 OperatorAgent 的实例,具备独立的身份(UUID + Callsign)、状态机、系统提示词(System Prompt)和工具偏好。
3.1 Operator状态机
assignTask()
idle ───────────> tasked ──────> executing
^ |
| v
+──── cooldown <────────── (task complete)
|
+──── burned <────── (detection risk exceeded)
- detection risk:每次任务失败累积0.1风险值,超过
maxDetectionRisk后Operator被标记为 burned(报废); - cooldown:任务完成后进入冷却期,默认5秒,隐身配置下可延长至30秒;
- AgentLoop(ReAct):每个Operator可挂载LLM + Arsenal组成的ReAct循环,最多15轮迭代,单任务token预算50K。
3.2 八原型与MITRE映射
| Operator | 杀伤链阶段 | MITRE战术 | 技术职能 | 状态 |
|---|---|---|---|---|
| Recon | Reconnaissance | TA0043 | OSINT、DNS枚举、子域名发现、端口扫描、资产测绘 | 稳定 ✅ |
| Scanner | Discovery | TA0007 | 漏洞扫描、服务指纹、配置审计 | 稳定 ✅ |
| Exploiter | Initial Access | TA0001, TA0002 | 漏洞利用开发、Payload投递、初始接入 | 实验性 ⚠️ |
| Infiltrator | Lateral Movement | TA0008, TA0004 | 权限提升、横向移动、凭证访问 | 实验性 ⚠️ |
| Exfiltrator | Collection / Exfiltration | TA0009, TA0010 | 数据收集、渗出、暂存 staging | 实验性 ⚠️ |
| Ghost | Persistence | TA0003, TA0005 | 持久化、反取证、清理痕迹 | 实验性 ⚠️ |
| Coordinator | Command & Control | TA0011 | 任务编排、决策中枢、C2通信 | 实验性 ⚠️ |
| Analyst | Reporting | — | 模式分析、报告生成、风险评估 | 稳定 ✅ |
关键诚实声明:Recon与Scanner是当前唯一经过大规模基准测试验证的稳定引擎。Exploiter至Coordinator下游Operator虽然运行与Recon完全相同的真实工具驱动ReAct循环(非stub/mock),但端到端(end-to-end)的8智能体协同杀伤链尚未通过系统性 benchmark 验证。当前所有 headline 基准成绩(XBEN 90.1%、Cybench 58% 等)均来自单智能体ReAct回路,而非完整8-Operator swarm [2][1:1]。
3.3 团队工厂(Team Factories)
框架内置多种预设团队模板,用户可一键生成不同作战风格的Operator编队:
createBalancedTeam():8原型各1名,通用型任务;createStealthTeam():Recon + Scanner + Ghost,低检测阈值;createBreachTeam():2×Exploiter + Infiltrator + Exfiltrator,激进突防;createAPTTeam():模拟高级持续性威胁(Advanced Persistent Threat);createCloudTeam():云环境专项作战编队。
四、工具集成生态:从35款默认武器库到83款全量军械库
T3MP3ST 的武器库(Arsenal)采用三层分级策略:默认即插即用、opt-in需显式解锁、approval-gated需人工逐次审批。这种设计在功能开放与操作安全之间建立了清晰的治理边界。
4.1 工具分级体系
| 层级 | 数量 | 激活条件 | 代表工具 |
|---|---|---|---|
| Default(默认) | 35款 | 无需额外flag,开箱即用 | 31款内置 + 4款外部CLI封装 |
| Opt-in(可选) | 48款 | 设置 T3MP3ST_FULL_ARSENAL 环境变量 |
nuclei、subfinder、sqlmap、semgrep、slither、john、radare2 等 |
| Approval-gated(审批) | 若干 | opt-in + 人工逐调用审批 + 本地CLI已安装 | Metasploit (msfconsole)、Hydra、BloodHound |
总数验证:35(默认)+ 48(opt-in适配器)= 83款,该数字可通过仓库内
npm run verify-claims命令从提交JSON中重新推导 [2:1]。
4.2 默认工具分类详表
| 类别 | 工具示例 | 功能域 |
|---|---|---|
| 网络侦察 | dns_lookup、port_scan、subdomain_enum、whois_lookup |
DNS解析、端口扫描、子域名爆破、WHOIS查询 |
| Web测试 | http_request、header_analysis、technology_detect、dir_bruteforce |
HTTP交互、安全头分析、技术栈指纹、目录爆破 |
| 漏洞探测 | xss_scan、sqli_scan、ssl_scan、vuln_scan |
XSS/SQLi/TLS配置/综合漏洞探测 |
| 凭证与加密 | password_spray、hash_crack、jwt_decode、base64_decode |
密码喷洒、哈希破解、JWT分析、编码解码 |
| 情报搜索 | exploit_search |
Exploit-DB等漏洞库检索 |
| 外部CLI封装 | nmap_scan、nuclei_scan、ffuf_fuzz、curl_request |
调用本地安装的nmap、Nuclei、ffuf、curl |
4.3 Opt-in扩展工具集(48款)
| 领域 | 工具 |
|---|---|
| Web/网络 | nuclei、subfinder、httpx、naabu、katana、ffuf、gobuster、feroxbuster、nikto、dalfox、sqlmap |
| 代码/密钥审计 | semgrep、gitleaks、trufflehog、trivy、grype、osv-scanner、checkov |
| 智能合约 | slither、mythril、echidna、foundry、solhint |
| 二进制/固件/移动 | openssl、john、hashcat、radare2、apktool、jadx、exiftool、binwalk、yara |
需要特别强调的是,Metasploit 和 Hydra 等高危工具被明确标记为 riskTier: dangerous,处于人工审批门控之下。T3MP3ST 并非无限制的工具发射器,其设计哲学中包含了明确的授权边界(Scope Containment):一旦任务目标设定,内置网络工具默认拒绝访问目标及子域名以外的公共主机,包括回环地址与私有网段,返回 SCOPE DENIED [2:2]。
五、基准测试评估:可复现的量化成绩单
T3MP3ST 在宣传中极度强调 Reproducibility(可复现性)。仓库中每一个 headline 数字都可通过 npm run verify-claims 从 bench/ 目录下已提交的JSON结果中重新计算,且该命令在CI中保持20/20全绿。这种「可复现优先」的方法论在AI安全工具领域极为罕见。
5.1 三大基准测试对比
| 测试套件 | 结果 | 测试条件 | 对比基准 |
|---|---|---|---|
| XBEN — 104题黑盒挑战,pass@1 | 90.1%(Wilson-95置信区间 86.2%–92.9%),floor 91/104 | 模型:gpt-5.5;单次尝试 | XBOW自报同套件85%;T3MP3ST在Wilson下限仍超越对手 |
| XBEN — 白盒(单独报告) | 98.7% pass@1,best-ball 104/104 | 源代码可见 | 不与黑盒数字混合报告 |
| Cybench — 40题学术CTF | 23/40(58%) | Opus 4.8,无提示词(hint-free),单次pass@1 | Anthropic官方 pass@10 76.5%;T3MP3ST为严格pass@1,且仅计算可达子集(18/31=58%) |
| CVE-Zero — 10个真实2026年后CVE冷启动狩猎 | 8/10 严格命中(精确文件/行号/CWE) 10/10 发现漏洞 |
目标日期在模型训练截断点之后,排除记忆效应 | 零样本(zero-shot)真实漏洞挖掘能力验证 |
5.2 结果解读方法论
- Live Exploit Enforcement:每一个被标记为"已解决"的flag都必须来自真实可利用漏洞(live exploit),而非猜测或伪造。框架内置 anti-fitting guard,每次提交时自动运行,杜绝数据污染 [2:3]。
- 黑盒/白盒分离报告:黑盒(源码不可见)与白盒(源码可见)结果分别列出,从不混合计算,避免 apples-to-oranges 的比较陷阱。
- 单智能体 vs Swarm 诚实声明:上述成绩均由单智能体ReAct回路完成,非8-Operator协同 swarm。8-Operator的端到端协同 exploitation 仍处于实验阶段,尚未形成可报告的基准数字 [1:2]。
- System-vs-System 比较:T3MP3ST的成绩是「框架+当前强模型」的系统级成绩,而非孤立框架的声明。
5.3 CVE-Zero 的 memorization-proof 设计
CVE-Zero 测试选取了 2026年披露的真实CVE,即模型训练数据截断点之后出现的漏洞,从根本上排除了「记忆漏洞答案」的可能性。10个目标全部被发现漏洞,其中8个精确命中漏洞所在文件、代码行号及CWE分类。这一结果证明:T3MP3ST harness 驱动的AI智能体具备对训练时未知漏洞模式的泛化发现能力,而不仅仅是对已知漏洞的检索或复现。
六、技术局限与伦理边界
T3MP3ST 的维护者在文档中表现出罕见的技术诚实(technical honesty),明确区分了「已验证能力」与「架构愿景」。
6.1 当前技术局限
| 局限项 | 说明 |
|---|---|
| Swarm未经验证 | 8-Operator端到端协同杀伤链仍不可靠,当前成绩全部来自单智能体循环 |
| Exploiter/Infiltrator等下游Operator | 虽然运行真实工具驱动的ReAct引擎,但尚无系统性benchmark证明其在全链中的稳定性 |
| 白盒源码分析 | 目前仅支持Python正则提取式ingest,多模型分解成本未优化,标记为实验性 |
| DeFi智能合约 | 当前仅能复现已知漏洞类别(Damn Vulnerable DeFi),不具备novel discovery能力 |
| 高级模块 | Cloud安全、持久化、Swarm认知等模块仅存在于 src/stubs/ 接口占位阶段 |
| 自改进回路 | 可记录教训与提案,但尚未实现将历史经验反馈到未来任务规划的闭环 |
6.2 伦理与安全治理
T3MP3ST 在 SECURITY.md 与 SCOPE_AND_AUTHORIZATION 文档中建立了严格的授权模型 [2:4][3]:
- 目标锁定机制(Egress-scope containment):默认开启,工具拒绝访问非目标/非子域名的公共主机;
- 交战规则(RoE):内置
createDefaultRoE()与createStrictRoE(),支持范围限制、禁用的技术清单、检测阈值、地理与时间限制; - 协调披露管道(Coordinated-disclosure pipeline):针对固件/IoT/OT漏洞发现,框架内置 OSV新颖性校验 + 实时PoC生成 + 反驳者面板(refuter panel)+ CVSS评分,但最终报告仅限草稿状态,必须由人工发送给厂商;
- 核心非协商原则:"One rule, non-negotiable: everything here is for authorized testing only. Owned, scoped, or consenting targets. Build for defenders, or don't build it here." [2:5]
七、个人技术观点
T3MP3ST 的出现标志着AI驱动的 offensive security 工具正在从「概念验证」迈向「工程化框架」。以下是我认为该框架最具价值与最具争议的技术判断:
7.1 架构层面的先进性
调度层而非模型层的定位是T3MP3ST最明智的设计决策。在AI安全社区普遍追逐「训练专属渗透大模型」的浪潮中,Pliny选择承认一个事实:当前前沿代码模型(Claude、GPT-4o、Grok等)已经具备足够的漏洞推理能力,瓶颈不在于模型智商,而在于如何安全、可控、可审计地调用工具、管理上下文、维护证据链。T3MP3ST解决的是「 harness 问题」,而非「模型问题」,这使得它能以极低成本(零额外API费用)接入未来任何更强的模型。
7.2 Keyless模式的战略意义
Keyless设计不仅降低了使用门槛,更重要的是将信任边界留给了用户。用户无需将API密钥交给一个第三方安全框架,而是让框架依附于用户已信任的环境中(如已登录的Claude Code CLI)。这在安全工具的「可用性-可信性」权衡中,是一个值得同行借鉴的设计范式。
7.3 诚实的工程文化
T3MP3ST在README中直接用状态表区分 ✅ Stable / ⚠️ Experimental / Planned,并公开承认 headline 数字来自单智能体而非完整swarm。这种「 Loud where we've earned it, blunt about the rest」的工程文化,比那些将架构愿景与实测能力混为一谈的项目更具长期可信度。
7.4 潜在风险与批评
- 单智能体成绩的可迁移性:当前90.1%的XBEN成绩是在特定模型(gpt-5.5)与单智能体回路下达成的,用户若接入较弱本地模型(如7B参数级),实际表现可能断崖式下降;
- 审批门控的可绕过性:虽然Metasploit等工具需要人工审批,但本地有权用户始终可以绕过框架直接调用这些工具。框架的治理机制是善意设计,而非技术强制;
- 自动化杀伤链的社会工程风险:即使技术局限明确,T3MP3ST仍可能被恶意用于未授权测试。框架的安全最终取决于使用者的法律与道德约束,而非代码层面的绝对限制。
八、参考来源
网络安全免责声明
本文对T3MP3ST框架的分析仅出于技术研究、学术交流与防御能力建设之目的。T3MP3ST及同类工具应当且仅应当用于以下场景:
- 已获得书面授权的渗透测试;
- 拥有完全所有权的系统;
- 明确 consent 的CTF竞赛或实验环境;
- 协调漏洞披露(CVD)流程中的合法研究。
任何将本文所述技术、工具或方法用于未经授权访问计算机系统、网络或数据的行为,均可能违反《中华人民共和国刑法》第二百八十五条、第二百八十六条以及各司法管辖区的相关法律。作者强烈谴责一切非法网络攻击行为,并呼吁安全社区坚持「防御优先、授权先行、披露有责」的职业伦理。技术本身是中立的,但技术的使用永远具有道德与法律边界。请勿将T3MP3ST或任何其他攻击性安全工具用于非法目的。
elder-plinius. T3MP3ST Technical Whitepaper (WHITEPAPER.md). Version 1.0, February 2026.
https://github.com/elder-plinius/T3MP3ST/blob/main/WHITEPAPER.md(accessed 2026-07-09). ↩︎ ↩︎ ↩︎elder-plinius. T3MP3ST: A multi-agent offensive-security framework. GitHub repository, 2026.
https://github.com/elder-plinius/T3MP3ST(accessed 2026-07-09). ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎elder-plinius. T3MP3ST Feature Documentation (FEATURES.md).
https://github.com/elder-plinius/T3MP3ST/blob/main/FEATURES.md(accessed 2026-07-09). ↩︎
浙公网安备 33010602011771号