从 2025 年 8 月开始,我就接触并尝试使用 Claude Code 执行自动化渗透测试任务。当时我的第一感觉是:这东西非常有潜力,甚至像是发现了一件“新武器”。后来大概到 10 月前后,Claude 官方也逐渐意识到这类工具在网络攻击场景中的可用性,并陆续发布了相关预警和通报。
所以我对腾讯云黑客松渗透测试挑战赛其实是有期待的。第一届比赛给我的观感就不错,至少有不少队伍是在认真思考“自动化渗透测试”这件事本身。比如第一名对渗透测试非线性过程的重新定义、对图规划语言的理解;第二名对信息收集阶段的深入拆解;第三名提出的多智能体框架;以及其他队伍展示出来的各种方法论和工程思路。这些内容即使不一定完全成熟,至少能看出他们在尝试提出自己的问题、自己的抽象和自己的技术路线。
但第二届比赛看下来,尤其是前十队伍的汇报,给我的感觉就比较失望。大量内容都集中在介绍已有的上下文压缩技术、已有的智能体框架、已有的开源工具,甚至模型层面也基本都是 Claude Code 的 Sonnet 或 Opus。问题是,框架不是你研发的,上下文压缩也不是你提出的,模型更不是你训练的。如果汇报只是把这些已有能力重新组合一遍,那到底体现了多少属于团队自己的技术?
这让我感觉第二届不像是一场渗透测试技术挑战赛,更像是一场论文分享会、开源框架分享会,或者 Claude Code等开源智能体框架的使用经验交流会。大家讲了很多“用了什么”,但很少讲清楚“你解决了什么新问题”“你提出了什么新方法”“你的系统相比别人到底强在哪里”。
我并不是说使用现有模型和框架没有价值。自动化渗透测试本来就需要站在已有工具链之上做集成和工程化。但比赛最终比拼的应该不只是“谁更会调用 Claude Code”,而是看谁能在任务建模、攻击路径规划、信息收集、漏洞验证、上下文管理、多智能体协作、失败恢复、风险控制等关键环节中,做出真正有辨识度的设计。
如果只是换一套提示词、换一个框架壳子、换一种上下文压缩方案,然后把已有技术包装成自己的系统,那就很难称得上有新的技术贡献。说得直接一点:第二届给我的观感就是换汤不换药,热闹是热闹,但真正让人眼前一亮的原创想法太少了。
1 个帖子 - 1 位参与者