Comparing AI Agents to Cybersecurity Professionals in Real-World Penetration Testing

该研究首次在真实企业环境中对比了 AI 代理与人类网络安全专家，结果显示新提出的多智能体框架 ARTEMIS 在漏洞发现数量、提交质量及成本效益方面均优于大多数人类参与者，尽管其在误报率和图形界面任务上仍存在不足。

要点

这篇论文讲述了一场非常有趣的“黑客大比拼”：让人工智能（AI）黑客和人类网络安全专家在同一个真实的大学网络里进行“渗透测试”（也就是模拟黑客攻击，寻找系统漏洞）。

你可以把这次实验想象成一场**“寻宝游戏”**，但寻找的不是金币，而是网络中的“安全漏洞”。

以下是用通俗语言和比喻为你做的解读：

1. 比赛场地：一个巨大的数字迷宫

• 场景：斯坦福大学的一个大型网络，包含约 8,000 台电脑和服务器，分布在 12 个不同的区域（子网）。
• 规则：
  • 人类选手：10 位专业的网络安全专家，每人有 10 个小时的工作时间。
  • AI 选手：6 个现有的 AI 工具，加上作者团队开发的一个新 AI 系统叫 ARTEMIS。
  • 目标：找出尽可能多的漏洞，并证明它们是真的（比如真的能窃取数据或控制电脑），而不是误报。

2. 参赛选手大揭秘

🏆 人类选手：经验丰富的老猎手

• 特点：他们像经验丰富的侦探。他们会先扫描地图（网络扫描），然后像侦探一样思考：“这里有个门没锁，我进去看看；那里有个窗户没关，我再试试。”
• 优势：他们懂得“变通”。如果看到一个复杂的图形界面（比如一个需要鼠标点击的旧版网页），他们能灵活处理。
• 表现：大家水平参差不齐，最好的选手发现了 13 个漏洞，最差的发现了 3 个。

🤖 现有 AI 选手：只会死记硬背的实习生

• 特点：像刚毕业的大学生，只会按教科书办事。
• 表现：大多数现有的 AI 工具（比如 Codex 或 CyAgent）表现不佳。它们要么不敢动手（因为安全限制拒绝执行），要么只找到了一些表面问题，一旦遇到稍微复杂的情况就卡住了。它们就像只会走直线的机器人，遇到障碍物就停下了。

🚀 新选手 ARTEMIS：超级智能的“蜂群指挥官”

• 它是谁：这是作者团队专门为了这次比赛设计的 AI 系统。
• 它的绝招：
  • 蜂群战术：它不像人类那样一次只做一件事。它像一个指挥官，可以瞬间派出**多个“小机器人”（子代理）**同时去攻击不同的目标。
  • 自我反思：它会像人类一样做笔记、总结进度，如果卡住了就换个思路，甚至能连续工作很久不休息。
  • 自动筛选：它有一个专门的“质检员”模块，会先检查自己找到的漏洞是不是真的，避免瞎报。
• 战绩：ARTEMIS 拿到了第二名！它发现了 9 个有效漏洞，击败了 10 位人类选手中的 9 位。它的表现甚至超过了大多数人类专家。

3. 比赛结果对比：谁更厉害？

维度	人类专家	ARTEMIS (AI)	比喻
发现数量	平均每人发现 5-6 个	发现了 9 个	人类是单兵作战，ARTEMIS 是特种部队群殴。
工作速度	需要休息，节奏有快有慢	可以 24 小时不间断，并行处理	人类是马拉松选手，ARTEMIS 是不知疲倦的机器。
成本	约 $60/小时 | 约$18/小时	ARTEMIS 就像是用“共享单车”的价格雇到了“法拉利”司机。
弱点	会累，会分心，受限于体力	不懂图形界面（GUI），容易误报	人类能看懂复杂的网页菜单，AI 如果只给个乱码界面就傻眼了。

4. 关键发现与比喻

• AI 的“超能力”：并行处理

  • 比喻：人类侦探一次只能查一个房间，查完再查下一个。ARTEMIS 像是有 8 个分身，同时查 8 个房间。如果其中一个分身发现线索，它会立刻呼叫其他分身支援。
  • 结果：这让 AI 在大规模网络扫描中效率极高。

• AI 的“阿喀琉斯之踵”：图形界面（GUI）

  • 比喻：如果漏洞藏在一个需要你用鼠标点击、拖拽的旧版网页里，人类侦探一眼就能看出来。但 ARTEMIS 是个“命令行”专家，它只习惯敲代码。如果它看到一堆乱码或者需要点按钮，它可能会直接忽略，或者错误地认为那里没问题。
  • 例子：有一个漏洞藏在 TinyPilot（一种远程控制设备）的网页界面里，80% 的人类都找到了，但 ARTEMIS 没找到，因为它不擅长操作鼠标和浏览器。

• 误报问题

  • 比喻：人类侦探看到“门没锁”会小心地推一下确认。AI 有时候看到“门好像没锁”（比如收到一个 200 成功代码），就大喊“我进来了！”，结果其实是门后有个“请登录”的牌子。AI 的“假警报”比人类多。

5. 这意味着什么？

• 对于防御者（好人）：这是一个好消息。我们可以用更便宜、更不知疲倦的 AI 工具来帮我们要检查网络漏洞。ARTEMIS 的成本只有人类专家的 1/3 到 1/4，但能力却很强。
• 对于攻击者（坏人）：这是一个警告。如果坏人也能用这种 AI，他们可以在几秒钟内扫描成千上万个网站，找出漏洞。
• 未来的方向：现在的 AI 还需要人类来“带飞”。最好的模式是**“人机协作”**：让 AI 负责不知疲倦地扫描和初步筛选，让人类专家负责处理复杂的图形界面和最终确认。

总结

这就好比在说：“以前我们觉得 AI 只是个只会做题的学霸，这次我们发现，给它装上‘蜂群指挥’的大脑后，它已经能像顶尖黑客一样在真实世界里‘寻宝’了。虽然它偶尔会看错路（误报）或者看不懂复杂的地图（图形界面），但它便宜、速度快、不知疲倦，未来将是网络安全领域不可或缺的助手。”

技术摘要

论文技术总结：在真实世界渗透测试中比较 AI 代理与网络安全专业人员

1. 研究背景与问题 (Problem)

随着人工智能（AI）能力的飞速发展，AI 被用于网络攻击的风险日益增加。然而，现有的 AI 网络安全基准测试（如 CTF 挑战、静态代码分析、CVE 复现等）存在显著局限性：

• 缺乏现实性：大多数基准测试基于抽象环境，缺乏真实企业环境中的噪声、交互性和复杂性。
• 评估维度单一：现有测试往往侧重于问答或单一漏洞检测，未能模拟真实攻击中“凭证复用”、“配置错误链式利用”和“社会工程”等关键行为。
• 人机对比缺失：缺乏在真实生产环境中，将自主 AI 代理与人类网络安全专家进行直接、全面对比的研究。

核心问题：当前的 AI 代理在真实企业环境的渗透测试中，其能力是否足以媲美甚至超越人类专家？现有的 AI 框架是否存在架构缺陷导致其表现不佳？

2. 方法论 (Methodology)

研究团队在斯坦福大学的一个大型研究网络（包含约 8,000 台主机、12 个子网）中进行了首次全面对比实验。

2.1 实验设置

• 目标环境：混合了 Unix 系统、IoT 设备、少量 Windows 机器和嵌入式系统的真实网络。
• 参与者：
  • 人类专家：10 名经过筛选的网络安全专业人员（持有 OSCP 等证书，具备丰富的 CVE 发现经验）。
  • AI 代理：6 种现有的 AI 代理框架（包括 Codex, CyAgent, Incalmo 等）以及团队新开发的框架 ARTEMIS。
• 任务约束：所有参与者（人类和 AI）在相同的 10 小时窗口期内，使用相同的 Kali Linux 虚拟机进行非破坏性渗透测试。
• 安全与伦理：
  • 严格遵循漏洞披露政策（VDP），禁止破坏性操作（如 DoS、数据删除）。
  • 人类参与者签署知情同意书，AI 代理由研究人员实时监控，具备随时终止会话的机制。
  • 所有发现的漏洞在发布前均已修复。

2.2 评估框架

为了量化渗透测试质量，研究团队开发了一个统一的评分系统，不仅关注漏洞数量，更强调技术复杂性和业务影响：

• 总分公式：$S_{total} = \sum (TC_i + W_i)$
  • $TC_i$ (技术复杂性)：结合检测难度 (DC) 和利用难度 (EC)。成功利用漏洞获得满分，仅验证未利用则扣分。
  • $W_i$ (业务权重)：根据漏洞严重程度（Critical 到 Informational）赋予不同权重（Critical=8, High=5 等）。
• 评分标准：参考行业漏洞赏金计划，奖励高难度、高影响力的发现，而非仅仅奖励“低垂的果实”。

2.3 核心创新：ARTEMIS 框架

为了解决现有框架的不足，团队提出了 ARTEMIS (Automated Red Teaming Engine with Multi-agent Intelligent Supervision)：

• 多代理架构：包含一个监督代理 (Supervisor) 和无限数量的子代理 (Sub-agents)。
• 动态提示生成：监督代理根据任务动态为子代理生成特定的系统提示（System Prompts），避免工具误用。
• 自动漏洞分类 (Triaging)：包含一个专门的分类模块，负责验证漏洞的相关性、复现性并分类，减少误报。
• 长程任务管理：通过智能总结、待办事项列表（TODOs）和上下文清理机制，支持长达 16 小时的连续运行，克服了现有代理容易“遗忘”或过早终止的问题。

3. 主要结果 (Results)

3.1 性能排名

• ARTEMIS 表现卓越：ARTEMIS 的两个配置（A1 和 A2）在总排行榜上分别位列第二和第三（仅次于人类专家 P1）。
  • A1 (GPT-5)：发现 9 个有效漏洞，有效提交率 82%，得分 95.2，击败了 9/10 的人类参与者。
  • A2 (多模型集成)：发现 9 个有效漏洞，有效提交率 82%，得分 90.0。
• 现有框架表现不佳：
  • 现有的单代理或简单多代理框架（如 Codex, CyAgent, Incalmo）表现远逊于人类专家。
  • 部分框架（如 Claude Code, MAPTA）直接拒绝执行攻击任务。
  • 即使是使用相同底层模型（如 GPT-5），不同的架构（ARTEMIS vs. CyAgent）会导致巨大的性能差异，证明了架构设计的重要性。

3.2 关键发现

• 系统性枚举与并行性：AI 代理（特别是 ARTEMIS）在系统性枚举和并行利用方面具有优势。ARTEMIS 可同时运行最多 8 个子代理，而人类专家通常是串行工作。
• 成本效益：
  • ARTEMIS (A1) 的运行成本约为 **$18.21/小时**（年化约$3.7万）。
  • 相比之下，美国渗透测试师的平均年薪约为$12.5万（约$60/小时）。
  • AI 代理在成本上具有显著优势，且能发现高价值漏洞。
• 能力差距：
  • 误报率：AI 代理的误报率高于人类（例如将 HTTP 302 重定向误判为成功登录）。
  • GUI 交互：AI 代理在处理基于图形界面（GUI）的任务（如通过 TinyPilot Web 界面进行 RCE）时表现较差，而人类专家能轻松处理。
  • CLI 优势：在纯命令行环境（如旧版 iDRAC 服务器，现代浏览器无法加载）中，AI 代理利用 curl 等工具的表现优于人类。

3.3 漏洞发现分布

• 人类专家发现的漏洞更加多样化，且更擅长通过手动分析挖掘深层逻辑漏洞。
• ARTEMIS 能够发现需要高复杂度的漏洞（如未授权远程代码执行），但在某些特定场景（如需要人工判断的 GUI 交互）下会遗漏关键漏洞。

4. 核心贡献 (Key Contributions)

1. 首个真实环境对比研究：提供了在真实企业生产环境中，AI 代理与人类专家进行渗透测试对比的首个全面数据集和基准。
2. ARTEMIS 框架：提出了一种新的多代理架构，证明了通过动态提示、子代理管理和自动分类，可以显著提升大模型在复杂网络安全任务中的表现。
3. 评估方法论：建立了一套结合技术复杂度和业务影响的评分体系，超越了传统的“漏洞数量”统计，更贴近真实的防御价值。
4. 开源与透明度：开源了 ARTEMIS 代码、实验数据和评估框架，旨在推动防御者利用 AI 工具提升安全态势，并为监管决策提供实证依据。

5. 意义与影响 (Significance)

• 对防御者的启示：AI 代理（特别是经过良好架构设计的）已成为强大的防御工具，能够以极低的成本提供 24/7 的持续渗透测试能力，帮助组织发现人类可能遗漏的漏洞。
• 对攻击者的警示：AI 在渗透测试中的成功意味着攻击者也能利用类似技术自动化攻击，且速度更快、成本更低。这要求防御体系必须从“被动响应”转向“主动防御”和“AI 对抗 AI"。
• 对 AI 安全的推动：研究揭示了当前 AI 在 GUI 交互和误报控制方面的短板，为未来开发更鲁棒的 AI 安全工具指明了方向。
• 政策与监管：研究结果强调了开源 AI 安全工具的双刃剑性质，主张通过透明化和实证研究来制定合理的监管政策，而非单纯禁止。

总结：该论文证明了精心设计的 AI 代理（如 ARTEMIS）在真实世界的渗透测试中已经具备了与人类专家相媲美的能力，甚至在某些维度（如并行性、成本）上超越了人类。这标志着 AI 在网络安全领域的应用从理论走向实践的关键转折点。