你印象里的AI滲透測試，是不是先讓大模型規劃，然后按偵查、分類、利用、報告的固定流程走一遍？這其實只是把多個工具串成了一條流水線，骨子里還是制定好的劇本。但Armur AI最近公開的Pentest Swarm AI，直接給這套老套路做了一次“蟻化”手術——它沒有中央調度員，八個安全工具像蟻群一樣，靠釋放“信息素”動態決定下一個攻擊動作。

這個項目打出的旗號是“首個基于群智架構的開源自主滲透測試平臺”，核心差異不在工具多，而在協作方式。多數標榜“多智能體”的工具實質是管道：一個規劃大模型按偵查→分類→利用→報告的固定順序分發任務。Pentest Swarm AI完全打破這種預設，靠三個非常生物的機制讓攻擊鏈自己長出來。

第一個機制叫Stigmergy，借鑒自螞蟻覓食的共識主動性。所有智能體共享一塊用PostgreSQL加pgvector擴展搭起來的“黑板”，發現任何痕跡都寫進去，不是通過中央規劃器協調。每條發現附帶一個信息素權重，權重高的線索會吸引其他智能體投入資源，但權重會隨時間衰減，久不更新的路徑就會自然“餓死”，釋放算力。這正好解決了傳統流水線死磕已失效攻擊面的問題。

黑板本身不是單純的數據池，它存儲向量化后的發現，通過pgvector做相似檢索，等于內置了一個關聯引擎。比如某個偵查代理挖到子域名，系統自動匹配出歷史相似發現，對應信息素權重可能觸發漏洞分類代理介入。整個過程沒有一句硬編碼的分發規則，完全靠黑板上的信號強弱來引導。

第二個機制叫Emergence，攻擊鏈不是某個智能體規劃的產物，而是從底層涌現出來的。具體來說，一次偵查發現的CVE如果嚴重度夠高，會直接喚醒利用代理；利用成功后回寫的數據，又能重新調整黑板上權重，吸引后續橫向移動或權限維持的動作。整個序列沒有上層的劇本，每一步都是基于局部信息激發的自然反應。

這種看似不可控的方式，在實際攻防里反而更接近真實攻擊者行為——紅隊本來就是順著線索挖，而不是照表格打勾。而且因為涌現出的路徑沒有固定模板，防守方更難預判攻擊節奏，在合規測試中能更有效檢驗防御體系的盲區。

第三個機制是Decentralization，每個智能體自帶觸發謂詞，決定自己在什么條件下該醒過來干活。新增一個工具智能體或者退役某個舊版本，都不需要改寫全局編排器，只要其滿足黑板上的條件就會自動參與協同。這讓平臺能按需組合攻擊能力，不會因為加幾個模塊就要重構整個調度邏輯。

這種去中心化也意味著，用戶可以自由裁切自己需要的智能體陣容。比如只做內網橫向移動評估，就只保留探測和憑據相關的代理；做Web應用測試，才引入Burp橋梁和SQLMap適配層。整個調度不會因此紊亂，因為根本沒有中心調度器可以亂。

目前平臺開箱即用八個來自ProjectDiscovery的工具：subfinder用于子域名發現，httpx探測Web服務，nuclei跑漏洞模板掃描，naabu做端口掃描，katana爬取頁面，dnsx對付DNS查詢，gau收集歷史URL。外加一套經過完全解析的nmap XML適配器，帶作用域校驗。這些工具穩定運行，所有輸出都會寫入共享黑板，由其他代理依據信息素信號決定下一步動作。

第二波適配器已在路線圖上排好隊：sqlmap負責自動化SQL注入利用，Burp MCP橋梁對接Burp Suite，Metasploit做漏洞利用和投遞，ZAP完成Web掃描。無需重構平臺，這些新能力會像新物種被放進同一片蟻群棲息地一樣，靠黑板信號融入既有的協同生態。

上手門檻壓得非常低，一個API密鑰加一行命令就能啟動掃描。用Claude作為默認模型時，偵查和分類代理還自帶提示緩存加速，能減少重復的token開銷。如果團隊需要完全離線的本地部署，切換到Ollama就行；想省錢或者用定制模型，選擇任意OpenAI兼容接口也能跑。不論云端還是氣隙網絡，都不要求本地有GPU，也不需要預先下載模型，靈活度和實用性平衡得相當討巧。

每次掃描活動會生成一套可直接提交的報告，包含Markdown、HTML、JSON和SARIF四種格式。這些報告由專用的報告智能體直接從黑板查詢生成，而不是事后拼湊日志。好處是報告里的每一項發現都帶有對應信息素權重和歷史關聯路徑，溯源和分析非常清晰。

漏洞發現會被自動去重，按FIRST規范的CVSS v3.1標準打分，避免人工排重的繁雜。更關鍵的是作用域控制：--scope參數同時在工具層和執行層生效，形成縱深防御式過濾，即使智能體產生越界嘗試也會被攔在跑道上。這對需要接入CI/CD流水線或參與賞金獵人的場景非常友好。

團隊直接把GitHub Action也準備好了，SARIF輸出直通代碼掃描工作流，自動化滲透測試成了CI/CD的一個常規步驟。還有一套更大膽的玩法：通過pentestswarm mcp serve命令把整個群體智能暴露成MCP服務，原生對接到Claude Desktop和Cursor，安全從業者能在自己的IDE里直接調用群智滲透能力，測試、審計、調試都在同一個界面完成。

整個項目以AGPL 3.0許可證發布，紅隊、漏洞賞金獵人、安全研究者都可以免費使用和修改。在我看來，這套東西之所以有趣，不是因為它集成了多少工具，而是它用一種更接近生物群落的方式來協調工具，讓攻擊路徑自己浮現，而不是被硬寫死。這種“不再預設劇本”的滲透方法論，或許才是下一個值得安全工具鏈認真對待的變化。