<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>合规 on KnightLi的博客</title>
        <link>https://knightli.com/tags/%E5%90%88%E8%A7%84/</link>
        <description>Recent content in 合规 on KnightLi的博客</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh-cn</language>
        <lastBuildDate>Fri, 10 Jul 2026 06:33:49 +0800</lastBuildDate><atom:link href="https://knightli.com/tags/%E5%90%88%E8%A7%84/index.xml" rel="self" type="application/rss+xml" /><item>
        <title>AI Agent 自动化渗透测试合法吗：授权边界、Strix 类工具和合规清单</title>
        <link>https://knightli.com/2026/07/10/ai-agent-automated-penetration-testing-legal-compliance/</link>
        <pubDate>Fri, 10 Jul 2026 06:33:49 +0800</pubDate>
        
        <guid>https://knightli.com/2026/07/10/ai-agent-automated-penetration-testing-legal-compliance/</guid>
        <description>&lt;p&gt;AI Agent 自动化渗透测试合法吗？最短的回答是：合法与否不取决于它是不是 AI，也不取决于工具是不是开源，而取决于你有没有授权、有没有越界、有没有造成损害，以及你如何处理发现的漏洞和数据。&lt;/p&gt;
&lt;p&gt;像 Strix 这类 AI 渗透测试工具，把 Agent、动态执行、漏洞验证、报告和修复建议连在一起，确实能提高安全测试效率。但能力越强，边界越要写清楚。传统扫描器越界已经有风险，自动化 Agent 如果能持续探索、调用工具、生成 PoC、访问页面和整理结果，风险会更高。&lt;/p&gt;
&lt;p&gt;这篇不是法律意见，只做安全合规层面的通用梳理。正式渗透测试、漏洞赏金、跨境测试、客户系统测试和可能影响生产环境的测试，都应该以合同、平台规则、当地法律和法务意见为准。&lt;/p&gt;
&lt;h2 id=&#34;先说结论&#34;&gt;先说结论
&lt;/h2&gt;&lt;p&gt;AI Agent 自动化渗透测试通常可以分成三类：&lt;/p&gt;
&lt;table&gt;
  &lt;thead&gt;
      &lt;tr&gt;
          &lt;th&gt;场景&lt;/th&gt;
          &lt;th&gt;风险判断&lt;/th&gt;
      &lt;/tr&gt;
  &lt;/thead&gt;
  &lt;tbody&gt;
      &lt;tr&gt;
          &lt;td&gt;测自己的本地代码、测试环境、授权仓库&lt;/td&gt;
          &lt;td&gt;通常风险较低，但仍要控制数据和影响&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;按合同测试客户系统、公司内网、指定域名&lt;/td&gt;
          &lt;td&gt;需要明确授权、范围、时间窗口和交付方式&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;扫描陌生网站、云资产、第三方 API、公共目标&lt;/td&gt;
          &lt;td&gt;高风险，不能因为“只是测试”就默认合法&lt;/td&gt;
      &lt;/tr&gt;
  &lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;判断是否合法，先问六个问题：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;目标系统是谁的？&lt;/li&gt;
&lt;li&gt;授权文件有没有写清楚？&lt;/li&gt;
&lt;li&gt;测试范围是否包括这个域名、接口、账号和环境？&lt;/li&gt;
&lt;li&gt;Agent 会不会访问、下载、修改或破坏数据？&lt;/li&gt;
&lt;li&gt;发现漏洞后如何报告和保密？&lt;/li&gt;
&lt;li&gt;是否保留了日志、审批和复核记录？&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;如果这些问题答不清楚，就不要让 AI Agent 自动跑。&lt;/p&gt;
&lt;h2 id=&#34;为什么-ai-agent-让合规问题更敏感&#34;&gt;为什么 AI Agent 让合规问题更敏感
&lt;/h2&gt;&lt;p&gt;普通安全扫描器通常按规则发请求，输出结果比较可预测。AI Agent 则更像一个会连续决策的测试助手。它可能会：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;根据页面和接口继续探索；&lt;/li&gt;
&lt;li&gt;尝试组合多个弱点；&lt;/li&gt;
&lt;li&gt;生成验证思路；&lt;/li&gt;
&lt;li&gt;调用浏览器、代理、终端或脚本；&lt;/li&gt;
&lt;li&gt;保存过程日志和报告；&lt;/li&gt;
&lt;li&gt;在 CI/CD 中自动阻断发布。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;这些能力用于自有系统和授权测试时很有价值；用于未授权目标时，风险也会被放大。因为你很难用“我只是点了一下工具”来解释 Agent 后续做过的所有动作。&lt;/p&gt;
&lt;p&gt;合规上真正关心的不是“是不是 AI”，而是访问是否被允许、动作是否超范围、影响是否可控、数据是否被妥善处理。&lt;/p&gt;
&lt;h2 id=&#34;授权是第一条线&#34;&gt;授权是第一条线
&lt;/h2&gt;&lt;p&gt;渗透测试的基本前提是授权。授权不能只停留在口头上，最好有可保存、可审计的书面材料。&lt;/p&gt;
&lt;p&gt;一份可用的授权至少应该写清楚：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;被测试的主体；&lt;/li&gt;
&lt;li&gt;允许测试的域名、IP、仓库、应用、API；&lt;/li&gt;
&lt;li&gt;不允许测试的系统和接口；&lt;/li&gt;
&lt;li&gt;测试时间窗口；&lt;/li&gt;
&lt;li&gt;测试账号和权限；&lt;/li&gt;
&lt;li&gt;是否允许自动化扫描；&lt;/li&gt;
&lt;li&gt;是否允许验证漏洞；&lt;/li&gt;
&lt;li&gt;是否允许访问真实数据；&lt;/li&gt;
&lt;li&gt;联系人和紧急停止方式；&lt;/li&gt;
&lt;li&gt;报告格式和保密要求。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;如果你用 Strix 这类 Agent 工具，还应该额外写清：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;是否允许 Agent 动态探索；&lt;/li&gt;
&lt;li&gt;是否允许生成 PoC；&lt;/li&gt;
&lt;li&gt;是否允许在 CI/CD 自动运行；&lt;/li&gt;
&lt;li&gt;是否允许把日志、代码片段或请求内容发送给外部模型；&lt;/li&gt;
&lt;li&gt;模型服务商、数据保留和密钥管理要求。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;没有这些边界，工具越自动化，越容易变成“授权范围不明的攻击流量”。&lt;/p&gt;
&lt;h2 id=&#34;不是所有公开目标都能测&#34;&gt;不是所有“公开目标”都能测
&lt;/h2&gt;&lt;p&gt;很多误区来自一句话：这个网站是公开的，所以我可以测。&lt;/p&gt;
&lt;p&gt;公开访问不等于授权测试。你可以浏览一个网站，不代表可以用自动化工具持续探测它的接口、认证流程、业务逻辑和漏洞路径。&lt;/p&gt;
&lt;p&gt;尤其是下面几类目标，更不能默认测试：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;政府、医院、学校、金融机构；&lt;/li&gt;
&lt;li&gt;关键基础设施；&lt;/li&gt;
&lt;li&gt;第三方云服务和 SaaS；&lt;/li&gt;
&lt;li&gt;竞争对手网站；&lt;/li&gt;
&lt;li&gt;用户数据密集型平台；&lt;/li&gt;
&lt;li&gt;没有漏洞披露政策的公司系统；&lt;/li&gt;
&lt;li&gt;平台规则明确禁止自动化测试的站点。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;漏洞赏金和 VDP 也不是无限授权。它们通常会写明 scope、禁止行为、报告方式、测试强度和数据处理要求。只要越过这些规则，就可能从“善意研究”变成“未授权访问”。&lt;/p&gt;
&lt;h2 id=&#34;善意安全研究也有边界&#34;&gt;善意安全研究也有边界
&lt;/h2&gt;&lt;p&gt;美国司法部的 CFAA charging policy 提到，检方应在证据显示行为属于善意安全研究时避免起诉；其中“善意安全研究”强调为了测试、调查或修正安全缺陷，并以避免伤害个人或公众的方式进行，所得信息主要用于促进相关设备、系统或在线服务的安全。&lt;/p&gt;
&lt;p&gt;这段政策对理解边界有帮助，但不能简单理解成“只要说自己是研究就安全”。几个点很关键：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;目的要是安全测试、调查或修正；&lt;/li&gt;
&lt;li&gt;行为方式要避免造成伤害；&lt;/li&gt;
&lt;li&gt;信息使用要服务于安全改进；&lt;/li&gt;
&lt;li&gt;不能以勒索、胁迫、出售漏洞或扩大损害为目的；&lt;/li&gt;
&lt;li&gt;具体案件仍取决于事实、证据、司法辖区和执法判断。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;对中国、欧盟、英国、新加坡、日本等不同司法辖区，规则和执法口径也会不同。跨境测试、云资源测试、客户系统测试，不能只按一个国家的政策理解。&lt;/p&gt;
&lt;h2 id=&#34;哪些行为最容易越界&#34;&gt;哪些行为最容易越界
&lt;/h2&gt;&lt;p&gt;即使一开始是安全测试，下面这些行为也容易把风险拉高。&lt;/p&gt;
&lt;h3 id=&#34;1-没有授权就扫描&#34;&gt;1. 没有授权就扫描
&lt;/h3&gt;&lt;p&gt;对陌生目标运行自动化 Agent，是最典型的高风险动作。不要因为工具能跑、目标能访问、接口没有登录，就默认自己可以测试。&lt;/p&gt;
&lt;h3 id=&#34;2-超出-scope&#34;&gt;2. 超出 scope
&lt;/h3&gt;&lt;p&gt;授权只写了 &lt;code&gt;staging.example.com&lt;/code&gt;，Agent 却继续探索到生产域名、第三方支付、供应商后台或员工系统，这就可能越界。&lt;/p&gt;
&lt;p&gt;AI Agent 很容易“顺着线索走”。因此 scope 不能只写给人看，也要转成工具的限制条件。&lt;/p&gt;
&lt;h3 id=&#34;3-访问真实用户数据&#34;&gt;3. 访问真实用户数据
&lt;/h3&gt;&lt;p&gt;渗透测试不应该为了证明漏洞存在而读取、下载、截屏或保存大量真实用户数据。能用最小证据证明影响，就不要扩大访问。&lt;/p&gt;
&lt;h3 id=&#34;4-做破坏性验证&#34;&gt;4. 做破坏性验证
&lt;/h3&gt;&lt;p&gt;会导致数据删除、服务中断、费用异常、账号锁定、批量邮件发送、支付扣款、库存变化的测试，都需要单独授权和隔离环境。&lt;/p&gt;
&lt;h3 id=&#34;5-公开披露过早&#34;&gt;5. 公开披露过早
&lt;/h3&gt;&lt;p&gt;发现漏洞后，直接发社交媒体、博客、短视频或论坛，很容易造成二次伤害。合理做法是按漏洞披露政策或合同渠道报告，给对方修复窗口。&lt;/p&gt;
&lt;h3 id=&#34;6-用漏洞索要报酬&#34;&gt;6. 用漏洞索要报酬
&lt;/h3&gt;&lt;p&gt;如果不在漏洞赏金平台或约定机制内，拿漏洞结果要求付款、威胁公开、暗示不付费就扩散，可能被理解为勒索或胁迫。&lt;/p&gt;
&lt;h2 id=&#34;企业内部怎么安全使用-strix-类工具&#34;&gt;企业内部怎么安全使用 Strix 类工具
&lt;/h2&gt;&lt;p&gt;企业使用 AI Agent 做自动化渗透测试，建议从低风险场景开始。&lt;/p&gt;
&lt;p&gt;优先顺序可以是：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;本地代码库；&lt;/li&gt;
&lt;li&gt;专门搭建的测试环境；&lt;/li&gt;
&lt;li&gt;staging 环境；&lt;/li&gt;
&lt;li&gt;PR 级 quick scan；&lt;/li&gt;
&lt;li&gt;受控时间窗口内的生产只读验证；&lt;/li&gt;
&lt;li&gt;正式渗透测试项目。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;不要第一天就把 Agent 接到生产全站扫描。先让团队理解它会产生什么流量、读取哪些文件、调用哪些模型、生成哪些报告、误报率怎样，再逐步扩大范围。&lt;/p&gt;
&lt;h2 id=&#34;一份授权清单&#34;&gt;一份授权清单
&lt;/h2&gt;&lt;p&gt;在启动 AI Agent 渗透测试前，可以用下面的清单过一遍。&lt;/p&gt;
&lt;table&gt;
  &lt;thead&gt;
      &lt;tr&gt;
          &lt;th&gt;检查项&lt;/th&gt;
          &lt;th&gt;要确认什么&lt;/th&gt;
      &lt;/tr&gt;
  &lt;/thead&gt;
  &lt;tbody&gt;
      &lt;tr&gt;
          &lt;td&gt;目标范围&lt;/td&gt;
          &lt;td&gt;域名、IP、仓库、API、账号是否写清楚&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;禁止范围&lt;/td&gt;
          &lt;td&gt;第三方服务、支付、短信、邮件、生产数据是否排除&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;测试强度&lt;/td&gt;
          &lt;td&gt;并发、速率、时间窗口、扫描深度是否限制&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;数据边界&lt;/td&gt;
          &lt;td&gt;是否允许读取真实数据，能保存什么证据&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;工具边界&lt;/td&gt;
          &lt;td&gt;Agent 能否联网、能否执行命令、能否调用外部模型&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;密钥管理&lt;/td&gt;
          &lt;td&gt;API key、测试账号、Cookie 是否放在安全位置&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;日志记录&lt;/td&gt;
          &lt;td&gt;请求、输出、报告、审批是否可追溯&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;应急停止&lt;/td&gt;
          &lt;td&gt;谁能叫停，如何联系，如何回滚&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;漏洞披露&lt;/td&gt;
          &lt;td&gt;报告给谁，多久响应，是否允许公开&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;人工复核&lt;/td&gt;
          &lt;td&gt;AI 发现是否由安全或开发负责人确认&lt;/td&gt;
      &lt;/tr&gt;
  &lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;这张表不复杂，但能挡住很多“以为可以”的越界测试。&lt;/p&gt;
&lt;h2 id=&#34;给-agent-的合规提示词怎么写&#34;&gt;给 Agent 的合规提示词怎么写
&lt;/h2&gt;&lt;p&gt;如果工具支持 instruction 文件，不要只写“帮我找漏洞”。更合适的是把授权边界写进去。&lt;/p&gt;
&lt;p&gt;可以写成这样：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt; 1
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 2
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 3
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 4
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 5
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 6
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 7
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 8
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 9
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;10
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;11
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;你只能在以下范围内做安全测试：
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- 目标：staging.example.com
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- 账号：专用测试账号
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- 时间窗口：工作日 20:00-23:00
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- 禁止访问生产域名、支付接口、短信接口、邮件发送接口
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- 禁止删除、修改或批量导出数据
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- 禁止绕过速率限制做高强度请求
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- 发现疑似漏洞时，只保留最小复现证据
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- 所有结论必须标注证据、影响和不确定性
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- 不要尝试扩大权限、横向移动或访问第三方系统
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;这类提示词不能替代技术限制，但能让 Agent 的行为更接近授权文件。更稳的做法是同时在网络、账号、环境和工具层做限制，而不是只靠提示词。&lt;/p&gt;
&lt;h2 id=&#34;cicd-自动化也要有边界&#34;&gt;CI/CD 自动化也要有边界
&lt;/h2&gt;&lt;p&gt;把 AI Agent 渗透测试接进 CI/CD，很适合做 PR 安全检查。但 CI/CD 场景也有几个注意点：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;默认只扫当前变更或测试环境；&lt;/li&gt;
&lt;li&gt;不要在 PR 中暴露密钥；&lt;/li&gt;
&lt;li&gt;不要把完整请求、用户数据或代码片段发到不受控位置；&lt;/li&gt;
&lt;li&gt;对高风险结论先人工复核；&lt;/li&gt;
&lt;li&gt;失败策略要清楚：是阻断合并，还是只生成报告；&lt;/li&gt;
&lt;li&gt;第三方贡献者提交 PR 时，要限制 secrets 和工具权限。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;如果测试报告进入 Jira、Slack、邮件或工单系统，也要控制可见范围。漏洞详情本身就是敏感信息。&lt;/p&gt;
&lt;h2 id=&#34;个人研究者应该怎么做&#34;&gt;个人研究者应该怎么做
&lt;/h2&gt;&lt;p&gt;个人研究者使用 AI Agent 做安全研究，更要保守。&lt;/p&gt;
&lt;p&gt;建议遵循这几条：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;优先测自己的项目、靶场、CTF、实验环境；&lt;/li&gt;
&lt;li&gt;参与漏洞赏金前仔细读 scope；&lt;/li&gt;
&lt;li&gt;只使用平台允许的测试方式；&lt;/li&gt;
&lt;li&gt;不做破坏性验证；&lt;/li&gt;
&lt;li&gt;不下载真实用户数据；&lt;/li&gt;
&lt;li&gt;发现漏洞后按平台或 VDP 报告；&lt;/li&gt;
&lt;li&gt;保留最小证据，不扩大影响；&lt;/li&gt;
&lt;li&gt;不要用“AI 自动跑的”作为免责理由。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;如果目标没有漏洞披露政策，也没有 bug bounty，通常不应主动进行自动化渗透测试。可以选择联系对方申请授权，或者只做被动公开信息分析。&lt;/p&gt;
&lt;h2 id=&#34;合法不等于一定应该做&#34;&gt;合法不等于一定应该做
&lt;/h2&gt;&lt;p&gt;有些测试在合同上可能被允许，但仍然不适合直接做。例如：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;生产高峰期跑高强度扫描；&lt;/li&gt;
&lt;li&gt;对客户真实数据做验证；&lt;/li&gt;
&lt;li&gt;在未通知运维和客服的情况下触发告警；&lt;/li&gt;
&lt;li&gt;在没有回滚方案时测试破坏性路径；&lt;/li&gt;
&lt;li&gt;让外部模型处理敏感代码和请求内容。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;合规不是只问“会不会违法”，还要问：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;会不会影响用户？&lt;/li&gt;
&lt;li&gt;会不会引发事故？&lt;/li&gt;
&lt;li&gt;会不会泄露数据？&lt;/li&gt;
&lt;li&gt;会不会违反客户合同？&lt;/li&gt;
&lt;li&gt;会不会让团队无法解释测试过程？&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;AI Agent 越自动化，越需要把这些问题提前写进流程。&lt;/p&gt;
&lt;h2 id=&#34;参考来源&#34;&gt;参考来源
&lt;/h2&gt;&lt;ul&gt;
&lt;li&gt;&lt;a class=&#34;link&#34; href=&#34;https://www.justice.gov/jm/jm-9-48000-computer-fraud&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;U.S. Department of Justice：Computer Fraud and Abuse Act charging policy&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a class=&#34;link&#34; href=&#34;https://www.cisa.gov/news-events/directives/bod-20-01-develop-and-publish-vulnerability-disclosure-policy&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;CISA：BOD 20-01 Develop and Publish a Vulnerability Disclosure Policy&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a class=&#34;link&#34; href=&#34;https://www.nist.gov/itl/ai-risk-management-framework&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;NIST：AI Risk Management Framework&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;小结&#34;&gt;小结
&lt;/h2&gt;&lt;p&gt;AI Agent 自动化渗透测试是否合法，核心不在“AI Agent”四个字，而在授权、范围、影响控制、数据处理和披露流程。&lt;/p&gt;
&lt;p&gt;测自己的代码和授权环境，通常是合理的安全工程实践；扫陌生目标、越过 scope、访问真实数据、造成服务影响或用漏洞施压，就可能带来法律和合规风险。&lt;/p&gt;
&lt;p&gt;对 Strix 这类工具，正确用法不是让它无边界地自动探索，而是把它放进明确授权、隔离环境、受控账号、最小证据、人工复核和可审计报告的流程里。这样它才是防御工具，而不是风险来源。&lt;/p&gt;
</description>
        </item>
        
    </channel>
</rss>
