工具成瘾——黑客为何痴迷工具与AI（及如何开始用脑思考）

大多数人把工具当作宗教：神圣的清单、神圣的有效载荷、仪式化的运行。工具易于复制、易于赞美，而且极其容易截图。这就是问题所在——痴迷取代了思考。工具能自动化任务，但它们不会教导任务最初为何重要。

问题所在

工具外化了思考。当你依赖扫描器或AI提示来告诉你问题所在时，你学到的是工具的偏见——而不是系统的弱点。随着时间的推移，你会忘记发现高价值漏洞的简单思维习惯：好奇心、对用户的同理心，以及指向逻辑漏洞的UX中的微小荒谬之处。

（对新手的提示：端点只是一个执行操作的网址——而这通常是逻辑漏洞隐藏的地方。）

一行规则

如果你能用复选框取代一个想法，你就停止了学习。

一个问题

在启动工具或提示之前，问自己：
“如果这个系统是安全的，我期望看到什么？”

如果你的回答很肤浅——“没有发现”或“低严重性”——那就深入挖掘。这个问题训练大脑；工具只验证结果。

需要注意的事项（思维检查清单）

• 人们出于习惯而非设计执行的任务（变通方法、复制粘贴流程）
• 假设用户永远不会偏离的UI快捷方式
• 与实现相矛盾的文档
• 泄露内部状态或揭示假设的错误消息
• 无人使用但仍接受输入的功能
• 任何期望“行为良好”用户的东西

微习惯——90秒思考，而非扫描

打开应用程序，不要启动你的工具。像打破习惯的人一样浏览。

1. 选择一个你不理解的流程——为什么那个字段是可选的？为什么有那个重定向？——写下你的预期。（30秒）
2. 手动执行一次流程，故意做意外的事情（缺失字段、奇怪的cookie、不同的角色）。记录3个意外发现。（30秒）
3. 现在运行工具只是为了确认你的观察，而不是引导它们。（30秒）

AI的角色——反思，而非替代

AI是你当前知识的镜子。它放大你已经思考的内容。如果你提出肤浅的提示，期望得到肤浅的帮助。

示例：
肤浅：“检查此页面是否存在XSS。”
深入：“考虑到此应用的架构和基于角色的访问控制，认证用户触发XSS的三种非标准方式是什么？”

使用AI来挑战你的假设，而不是确认它们。让模型与你争论。

关于工具的说明

自动化并非邪恶——它是杠杆。扫描器在侦察、映射或捕捉低悬果实方面非常出色。危险在于它们成为观察的替代品。工具应该服务于好奇心，而不是取代它。

专业技巧

教你的工具出错。故意给它们提供错误的输入或有缺陷的假设，观察失败模式——这些比顺利运行更能揭示假设。

观察 + 挑战 + 反思 = 复合学习。工具是加速剂；思想是燃料。

观察无需成本。它比扫描器更安静——当与好奇的头脑搭配时，却致命得多。

— @viratavi
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码