AI Agent 自動化滲透測試合法嗎?最短回答是:取決於授權、範圍、影響、資料處理和披露流程。工具是 AI 或開源,並不代表測試天然合法。
Strix 這類工具能把 Agent、動態執行、漏洞驗證、報告和修復建議連起來。這對防禦很有價值,但也讓邊界更重要。
本文不是法律意見。正式滲透測試、漏洞賞金、客戶系統、跨境測試和生產環境測試,都應以合同、平台規則、當地法律和法務意見為準。
先說結論
AI Agent 滲透測試通常分三類:
| 場景 | 風險 |
|---|---|
| 自己的代碼、測試環境、授權倉庫 | 通常較低,但仍要控制 |
| 按合同測客戶系統 | 需要書面授權、範圍、時間窗口和報告規則 |
| 掃陌生網站、雲資產、第三方 API | 沒有明確授權時風險很高 |
運行前先問:
- 目標系統是誰的?
- 授權是否書面且清楚?
- 範圍是否包含該域名、接口、帳號和環境?
- Agent 是否可能訪問、複製、修改或破壞資料?
- 漏洞如何報告和保密?
- 是否保留日誌、審批和複核記錄?
答不清楚,就不要讓 Agent 自動跑。
為什麼 AI Agent 讓合規問題更敏感
傳統掃描器通常較可預測。AI Agent 可能會探索頁面、組合線索、調用工具、生成驗證思路、使用瀏覽器或代理、保存報告。
在自有或授權系統上,這很有用;在未授權目標上,風險會被放大。合規真正關心的是訪問是否被允許、是否超範圍、影響是否可控、資料如何處理。
授權是第一條線
授權最好是書面且可審計的,至少寫清:
- 被測主體;
- 允許測試的域名、IP、倉庫、應用、API;
- 禁止測試的系統;
- 測試時間窗口;
- 測試帳號和權限;
- 是否允許自動化;
- 是否允許驗證漏洞;
- 是否允許訪問真實資料;
- 緊急停止聯絡人;
- 報告和保密要求。
如果使用 AI Agent,還要寫清:
- 是否允許動態探索;
- 是否允許生成 PoC;
- 是否允許放進 CI/CD;
- 是否允許把日誌、代碼片段或請求內容發給外部模型;
- 模型服務商和資料保留要求。
不是所有「公開目標」都能測
網站可公開訪問,不代表可以自動化測試。你可以瀏覽,不代表可以用工具探測 API、認證流程或業務邏輯。
尤其要避開:
- 政府、醫療、學校、金融;
- 關鍵基礎設施;
- 第三方 SaaS 和雲服務;
- 競爭對手;
- 大量用戶資料平台;
- 沒有披露政策的系統;
- 明確禁止自動化測試的網站。
漏洞賞金和 VDP 也不是無限授權。scope、禁止行為、速率和報告規則都很重要。
善意安全研究也有邊界
美國 DOJ 的 CFAA charging policy 提到善意安全研究,但不能理解成「只要說是研究就安全」。目的、避免傷害、資訊使用方式、司法轄區都會影響判斷。
不同國家和地區的規則可能不同,跨境測試尤其敏感。
哪些行為最容易越界
1. 沒有授權就掃描
對陌生目標運行自動化 Agent 是高風險行為。
2. 超出 scope
授權只包含 staging.example.com,Agent 卻探索到生產、支付、供應商或員工系統,就可能越界。
3. 訪問真實用戶資料
不要為了證明漏洞而讀取、下載、截圖或保存大量真實用戶資料。
4. 做破壞性驗證
刪資料、影響服務、產生成本、鎖帳號、發郵件、改支付狀態,都需要單獨授權和隔離環境。
5. 公開披露過早
應按約定渠道報告,給對方修復窗口。
6. 用漏洞索要報酬
不在約定賞金機制內,用漏洞結果施壓索要付款,可能被視為脅迫。
企業內部怎麼安全使用 Strix 類工具
建議從低風險場景開始:
- 本地代碼;
- 專門測試環境;
- staging;
- PR 級 quick scan;
- 受控生產只讀驗證;
- 正式滲透測試項目。
不要第一天就接到生產全站掃描。
一份授權清單
| 檢查項 | 要確認什麼 |
|---|---|
| 目標範圍 | 域名、IP、倉庫、API、帳號 |
| 禁止範圍 | 第三方服務、支付、短信、郵件、真實資料 |
| 測試強度 | 並發、速率、時間窗口、深度 |
| 資料邊界 | 可查看和保存哪些資料 |
| 工具邊界 | 網路、命令執行、外部模型調用 |
| 密鑰 | API key、測試帳號、Cookie |
| 日誌 | 請求、輸出、報告、審批 |
| 緊急停止 | 聯絡人和回滾 |
| 漏洞披露 | 接收人、響應時間、公開規則 |
| 人工複核 | 誰確認 AI 發現 |
給 Agent 的合規提示詞怎麼寫
|
|
提示詞不能替代技術限制。還要在網路、帳號和環境層做限制。
CI/CD 自動化也要有邊界
- 只掃變更代碼或測試環境;
- 不要把 secrets 暴露給不可信 PR;
- 不要把敏感日誌發到不受控位置;
- 高風險結論要人工複核;
- 明確失敗是阻斷合併還是只生成報告。
漏洞報告本身就是敏感資訊,要限制可見範圍。
個人研究者應該怎麼做
- 優先測自己的專案、靶場、CTF 和練習環境;
- 參與漏洞賞金前仔細讀 scope;
- 只使用平台允許的方法;
- 不做破壞性驗證;
- 不下載真實用戶資料;
- 按官方渠道報告;
- 保留最小證據;
- 不要用「AI 自動跑的」當免責理由。
沒有披露政策或授權時,不建議做主動自動化測試。
合法不等於一定應該做
即使合同允許,也要考慮營運風險:
- 生產高峰期;
- 真實客戶資料;
- 告警疲勞;
- 沒有回滾方案;
- 外部模型處理敏感代碼或請求。
合規不只是「會不會違法」,還包括團隊是否能解釋、控制和審計。
參考來源
- U.S. Department of Justice:Computer Fraud and Abuse Act charging policy
- CISA:BOD 20-01 Develop and Publish a Vulnerability Disclosure Policy
- NIST:AI Risk Management Framework
小結
AI Agent 自動化滲透測試是否合法,核心不是 AI,而是授權、範圍、影響控制、資料處理、披露和可審計性。在清楚邊界內,Strix 類工具可以幫助防禦;沒有邊界時,它本身就會成為風險來源。