<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>Strix on KnightLi的博客</title>
        <link>https://knightli.com/zh-tw/tags/strix/</link>
        <description>Recent content in Strix on KnightLi的博客</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh-tw</language>
        <lastBuildDate>Fri, 10 Jul 2026 06:33:49 +0800</lastBuildDate><atom:link href="https://knightli.com/zh-tw/tags/strix/index.xml" rel="self" type="application/rss+xml" /><item>
        <title>AI Agent 自動化滲透測試合法嗎：授權邊界、Strix 類工具和合規清單</title>
        <link>https://knightli.com/zh-tw/2026/07/10/ai-agent-automated-penetration-testing-legal-compliance/</link>
        <pubDate>Fri, 10 Jul 2026 06:33:49 +0800</pubDate>
        
        <guid>https://knightli.com/zh-tw/2026/07/10/ai-agent-automated-penetration-testing-legal-compliance/</guid>
        <description>&lt;p&gt;AI Agent 自動化滲透測試合法嗎？最短回答是：取決於授權、範圍、影響、資料處理和披露流程。工具是 AI 或開源，並不代表測試天然合法。&lt;/p&gt;
&lt;p&gt;Strix 這類工具能把 Agent、動態執行、漏洞驗證、報告和修復建議連起來。這對防禦很有價值，但也讓邊界更重要。&lt;/p&gt;
&lt;p&gt;本文不是法律意見。正式滲透測試、漏洞賞金、客戶系統、跨境測試和生產環境測試，都應以合同、平台規則、當地法律和法務意見為準。&lt;/p&gt;
&lt;h2 id=&#34;先說結論&#34;&gt;先說結論
&lt;/h2&gt;&lt;p&gt;AI Agent 滲透測試通常分三類：&lt;/p&gt;
&lt;table&gt;
  &lt;thead&gt;
      &lt;tr&gt;
          &lt;th&gt;場景&lt;/th&gt;
          &lt;th&gt;風險&lt;/th&gt;
      &lt;/tr&gt;
  &lt;/thead&gt;
  &lt;tbody&gt;
      &lt;tr&gt;
          &lt;td&gt;自己的代碼、測試環境、授權倉庫&lt;/td&gt;
          &lt;td&gt;通常較低，但仍要控制&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;按合同測客戶系統&lt;/td&gt;
          &lt;td&gt;需要書面授權、範圍、時間窗口和報告規則&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;掃陌生網站、雲資產、第三方 API&lt;/td&gt;
          &lt;td&gt;沒有明確授權時風險很高&lt;/td&gt;
      &lt;/tr&gt;
  &lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;運行前先問：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;目標系統是誰的？&lt;/li&gt;
&lt;li&gt;授權是否書面且清楚？&lt;/li&gt;
&lt;li&gt;範圍是否包含該域名、接口、帳號和環境？&lt;/li&gt;
&lt;li&gt;Agent 是否可能訪問、複製、修改或破壞資料？&lt;/li&gt;
&lt;li&gt;漏洞如何報告和保密？&lt;/li&gt;
&lt;li&gt;是否保留日誌、審批和複核記錄？&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;答不清楚，就不要讓 Agent 自動跑。&lt;/p&gt;
&lt;h2 id=&#34;為什麼-ai-agent-讓合規問題更敏感&#34;&gt;為什麼 AI Agent 讓合規問題更敏感
&lt;/h2&gt;&lt;p&gt;傳統掃描器通常較可預測。AI Agent 可能會探索頁面、組合線索、調用工具、生成驗證思路、使用瀏覽器或代理、保存報告。&lt;/p&gt;
&lt;p&gt;在自有或授權系統上，這很有用；在未授權目標上，風險會被放大。合規真正關心的是訪問是否被允許、是否超範圍、影響是否可控、資料如何處理。&lt;/p&gt;
&lt;h2 id=&#34;授權是第一條線&#34;&gt;授權是第一條線
&lt;/h2&gt;&lt;p&gt;授權最好是書面且可審計的，至少寫清：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;被測主體；&lt;/li&gt;
&lt;li&gt;允許測試的域名、IP、倉庫、應用、API；&lt;/li&gt;
&lt;li&gt;禁止測試的系統；&lt;/li&gt;
&lt;li&gt;測試時間窗口；&lt;/li&gt;
&lt;li&gt;測試帳號和權限；&lt;/li&gt;
&lt;li&gt;是否允許自動化；&lt;/li&gt;
&lt;li&gt;是否允許驗證漏洞；&lt;/li&gt;
&lt;li&gt;是否允許訪問真實資料；&lt;/li&gt;
&lt;li&gt;緊急停止聯絡人；&lt;/li&gt;
&lt;li&gt;報告和保密要求。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;如果使用 AI Agent，還要寫清：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;是否允許動態探索；&lt;/li&gt;
&lt;li&gt;是否允許生成 PoC；&lt;/li&gt;
&lt;li&gt;是否允許放進 CI/CD；&lt;/li&gt;
&lt;li&gt;是否允許把日誌、代碼片段或請求內容發給外部模型；&lt;/li&gt;
&lt;li&gt;模型服務商和資料保留要求。&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;不是所有公開目標都能測&#34;&gt;不是所有「公開目標」都能測
&lt;/h2&gt;&lt;p&gt;網站可公開訪問，不代表可以自動化測試。你可以瀏覽，不代表可以用工具探測 API、認證流程或業務邏輯。&lt;/p&gt;
&lt;p&gt;尤其要避開：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;政府、醫療、學校、金融；&lt;/li&gt;
&lt;li&gt;關鍵基礎設施；&lt;/li&gt;
&lt;li&gt;第三方 SaaS 和雲服務；&lt;/li&gt;
&lt;li&gt;競爭對手；&lt;/li&gt;
&lt;li&gt;大量用戶資料平台；&lt;/li&gt;
&lt;li&gt;沒有披露政策的系統；&lt;/li&gt;
&lt;li&gt;明確禁止自動化測試的網站。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;漏洞賞金和 VDP 也不是無限授權。scope、禁止行為、速率和報告規則都很重要。&lt;/p&gt;
&lt;h2 id=&#34;善意安全研究也有邊界&#34;&gt;善意安全研究也有邊界
&lt;/h2&gt;&lt;p&gt;美國 DOJ 的 CFAA charging policy 提到善意安全研究，但不能理解成「只要說是研究就安全」。目的、避免傷害、資訊使用方式、司法轄區都會影響判斷。&lt;/p&gt;
&lt;p&gt;不同國家和地區的規則可能不同，跨境測試尤其敏感。&lt;/p&gt;
&lt;h2 id=&#34;哪些行為最容易越界&#34;&gt;哪些行為最容易越界
&lt;/h2&gt;&lt;h3 id=&#34;1-沒有授權就掃描&#34;&gt;1. 沒有授權就掃描
&lt;/h3&gt;&lt;p&gt;對陌生目標運行自動化 Agent 是高風險行為。&lt;/p&gt;
&lt;h3 id=&#34;2-超出-scope&#34;&gt;2. 超出 scope
&lt;/h3&gt;&lt;p&gt;授權只包含 &lt;code&gt;staging.example.com&lt;/code&gt;，Agent 卻探索到生產、支付、供應商或員工系統，就可能越界。&lt;/p&gt;
&lt;h3 id=&#34;3-訪問真實用戶資料&#34;&gt;3. 訪問真實用戶資料
&lt;/h3&gt;&lt;p&gt;不要為了證明漏洞而讀取、下載、截圖或保存大量真實用戶資料。&lt;/p&gt;
&lt;h3 id=&#34;4-做破壞性驗證&#34;&gt;4. 做破壞性驗證
&lt;/h3&gt;&lt;p&gt;刪資料、影響服務、產生成本、鎖帳號、發郵件、改支付狀態，都需要單獨授權和隔離環境。&lt;/p&gt;
&lt;h3 id=&#34;5-公開披露過早&#34;&gt;5. 公開披露過早
&lt;/h3&gt;&lt;p&gt;應按約定渠道報告，給對方修復窗口。&lt;/p&gt;
&lt;h3 id=&#34;6-用漏洞索要報酬&#34;&gt;6. 用漏洞索要報酬
&lt;/h3&gt;&lt;p&gt;不在約定賞金機制內，用漏洞結果施壓索要付款，可能被視為脅迫。&lt;/p&gt;
&lt;h2 id=&#34;企業內部怎麼安全使用-strix-類工具&#34;&gt;企業內部怎麼安全使用 Strix 類工具
&lt;/h2&gt;&lt;p&gt;建議從低風險場景開始：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;本地代碼；&lt;/li&gt;
&lt;li&gt;專門測試環境；&lt;/li&gt;
&lt;li&gt;staging；&lt;/li&gt;
&lt;li&gt;PR 級 quick scan；&lt;/li&gt;
&lt;li&gt;受控生產只讀驗證；&lt;/li&gt;
&lt;li&gt;正式滲透測試項目。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;不要第一天就接到生產全站掃描。&lt;/p&gt;
&lt;h2 id=&#34;一份授權清單&#34;&gt;一份授權清單
&lt;/h2&gt;&lt;table&gt;
  &lt;thead&gt;
      &lt;tr&gt;
          &lt;th&gt;檢查項&lt;/th&gt;
          &lt;th&gt;要確認什麼&lt;/th&gt;
      &lt;/tr&gt;
  &lt;/thead&gt;
  &lt;tbody&gt;
      &lt;tr&gt;
          &lt;td&gt;目標範圍&lt;/td&gt;
          &lt;td&gt;域名、IP、倉庫、API、帳號&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;禁止範圍&lt;/td&gt;
          &lt;td&gt;第三方服務、支付、短信、郵件、真實資料&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;測試強度&lt;/td&gt;
          &lt;td&gt;並發、速率、時間窗口、深度&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;資料邊界&lt;/td&gt;
          &lt;td&gt;可查看和保存哪些資料&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;工具邊界&lt;/td&gt;
          &lt;td&gt;網路、命令執行、外部模型調用&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;密鑰&lt;/td&gt;
          &lt;td&gt;API key、測試帳號、Cookie&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;日誌&lt;/td&gt;
          &lt;td&gt;請求、輸出、報告、審批&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;緊急停止&lt;/td&gt;
          &lt;td&gt;聯絡人和回滾&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;漏洞披露&lt;/td&gt;
          &lt;td&gt;接收人、響應時間、公開規則&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;人工複核&lt;/td&gt;
          &lt;td&gt;誰確認 AI 發現&lt;/td&gt;
      &lt;/tr&gt;
  &lt;/tbody&gt;
&lt;/table&gt;
&lt;h2 id=&#34;給-agent-的合規提示詞怎麼寫&#34;&gt;給 Agent 的合規提示詞怎麼寫
&lt;/h2&gt;&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt; 1
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 2
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 3
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 4
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 5
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 6
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 7
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 8
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 9
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;10
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;11
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;You may only test:
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Target: staging.example.com
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Account: dedicated test account
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Window: weekdays 20:00-23:00
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Do not access production domains, payment APIs, SMS APIs, or email sending APIs
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Do not delete, modify, or bulk export data
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Do not perform high-rate requests or bypass rate limits
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Keep only minimal evidence
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Mark uncertainty in all findings
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;- Do not attempt privilege escalation, lateral movement, or third-party access
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;提示詞不能替代技術限制。還要在網路、帳號和環境層做限制。&lt;/p&gt;
&lt;h2 id=&#34;cicd-自動化也要有邊界&#34;&gt;CI/CD 自動化也要有邊界
&lt;/h2&gt;&lt;ul&gt;
&lt;li&gt;只掃變更代碼或測試環境；&lt;/li&gt;
&lt;li&gt;不要把 secrets 暴露給不可信 PR；&lt;/li&gt;
&lt;li&gt;不要把敏感日誌發到不受控位置；&lt;/li&gt;
&lt;li&gt;高風險結論要人工複核；&lt;/li&gt;
&lt;li&gt;明確失敗是阻斷合併還是只生成報告。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;漏洞報告本身就是敏感資訊，要限制可見範圍。&lt;/p&gt;
&lt;h2 id=&#34;個人研究者應該怎麼做&#34;&gt;個人研究者應該怎麼做
&lt;/h2&gt;&lt;ul&gt;
&lt;li&gt;優先測自己的專案、靶場、CTF 和練習環境；&lt;/li&gt;
&lt;li&gt;參與漏洞賞金前仔細讀 scope；&lt;/li&gt;
&lt;li&gt;只使用平台允許的方法；&lt;/li&gt;
&lt;li&gt;不做破壞性驗證；&lt;/li&gt;
&lt;li&gt;不下載真實用戶資料；&lt;/li&gt;
&lt;li&gt;按官方渠道報告；&lt;/li&gt;
&lt;li&gt;保留最小證據；&lt;/li&gt;
&lt;li&gt;不要用「AI 自動跑的」當免責理由。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;沒有披露政策或授權時，不建議做主動自動化測試。&lt;/p&gt;
&lt;h2 id=&#34;合法不等於一定應該做&#34;&gt;合法不等於一定應該做
&lt;/h2&gt;&lt;p&gt;即使合同允許，也要考慮營運風險：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;生產高峰期；&lt;/li&gt;
&lt;li&gt;真實客戶資料；&lt;/li&gt;
&lt;li&gt;告警疲勞；&lt;/li&gt;
&lt;li&gt;沒有回滾方案；&lt;/li&gt;
&lt;li&gt;外部模型處理敏感代碼或請求。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;合規不只是「會不會違法」，還包括團隊是否能解釋、控制和審計。&lt;/p&gt;
&lt;h2 id=&#34;參考來源&#34;&gt;參考來源
&lt;/h2&gt;&lt;ul&gt;
&lt;li&gt;&lt;a class=&#34;link&#34; href=&#34;https://www.justice.gov/jm/jm-9-48000-computer-fraud&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;U.S. Department of Justice：Computer Fraud and Abuse Act charging policy&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a class=&#34;link&#34; href=&#34;https://www.cisa.gov/news-events/directives/bod-20-01-develop-and-publish-vulnerability-disclosure-policy&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;CISA：BOD 20-01 Develop and Publish a Vulnerability Disclosure Policy&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a class=&#34;link&#34; href=&#34;https://www.nist.gov/itl/ai-risk-management-framework&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;NIST：AI Risk Management Framework&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;小結&#34;&gt;小結
&lt;/h2&gt;&lt;p&gt;AI Agent 自動化滲透測試是否合法，核心不是 AI，而是授權、範圍、影響控制、資料處理、披露和可審計性。在清楚邊界內，Strix 類工具可以幫助防禦；沒有邊界時，它本身就會成為風險來源。&lt;/p&gt;
</description>
        </item>
        
    </channel>
</rss>
