AI 渗透新洞察:放大疏忽而非制造漏洞
近期利用 AI 进行渗透测试,成功挖掘出若干数据库及 0day 漏洞,甚至获取了闭源产品的源代码(涉及数百家企业)。以下分享几点真实感悟。其优势在于信息关联,而非单纯寻找漏洞。单一的 SQL 注入或未授权接口,人工亦能发现。AI 真正的强大之处在于:从 A 站点提取用户名规范,从 B 站点获取密码策略,从 C 站点接口报错中拼凑出内部路径,进而组合成完整的攻击链条。这种跨越站点、跨越数据包的拼接能力,人类难以达到同等效率。针对 PHP 站点(以 ThinkPHP 为主),框架层面的漏洞及函数级过滤缺失,A