导语:HexStrike-AI本是网络安全研究员开发的合法红队工具,可集成AI代理,自主运行150多种网络安全工具,实现自动化渗透测试与漏洞发现。
研究发现,黑客正越来越多地在实际攻击中使用一款名为HexStrike-AI的新型AI驱动攻击性安全框架,利用新披露的n-day漏洞实施攻击。
这一活动由CheckPoint Research报告。该机构观察到,暗网上围绕HexStrike-AI的讨论十分活跃,且这些讨论与新披露的Citrix漏洞(包括CVE-2025-7775、CVE-2025-7776和CVE-2025-8424)的快速武器化密切相关。
根据ShadowServer基金会的数据,截至2025年9月2日,仍有近8000个端点易受CVE-2025-7775漏洞影响,较前一周的28000个有所下降。
落入不法分子手中的工具
HexStrike-AI本是网络安全研究员Muhammad Osama开发的合法红队工具,可集成AI代理,自主运行150多种网络安全工具,实现自动化渗透测试与漏洞发现。
其开发者描述道:“HexStrike AI通过MCP(管理控制协议)与外部大语言模型(LLM)进行‘人在环’交互,形成提示、分析、执行、反馈的持续循环。”该工具的客户端具备重试逻辑与恢复处理功能,可减轻复杂操作中单个步骤失败的影响——它会自动重试或调整配置,直至操作成功完成。
这款工具已于一个月前开源并上架GitHub平台,目前已获得1800个星标和400余次分支(fork)。遗憾的是,它也引起了黑客的注意,后者已开始将其用于攻击活动。
CheckPoint指出,在Citrix NetScaler ADC和Gateway 0-day漏洞披露后的数小时内,黑客便开始在黑客论坛上讨论如何部署HexStrike-AI来利用这些漏洞。
关于使用HexStrike-AI对抗Citrix端点的讨论
据悉,攻击者利用该工具通过CVE-2025-7775漏洞实现未授权远程代码执行,随后在被攻陷的设备上植入webshell,部分攻击者还将被入侵的NetScaler实例挂牌出售。
CheckPoint认为,攻击者很可能借助这款新型渗透测试框架实现攻击链自动化,涵盖扫描易受攻击的实例、构造漏洞利用程序、交付有效载荷(payload)以及维持持久控制等环节。
易受攻击的NetScaler实例列表
尽管目前尚未证实HexStrike-AI确实参与了这些攻击,但这种自动化程度或将使n-day漏洞的利用时间从数天缩短至几分钟。这种变化将使系统管理员本就紧张的补丁部署窗口期进一步压缩,留给他们应对攻击的时间愈发有限。
漏洞披露与大规模利用之间的窗口期正急剧缩短。目前CVE-2025-7775已被用于野外攻击,而借助HexStrike-AI,未来几天的攻击量只会有增无减。”
应对建议
尽管快速部署补丁仍是关键,但AI驱动攻击框架带来的这种范式转变,使得构建强大、全面的安全防御体系变得更为重要。
CheckPoint建议防御者重点关注以下方面:通过威胁情报实现早期预警、部署AI驱动的防御机制,以及建立自适应检测系统。
文章翻译自:https://www.bleepingcomputer.com/news/security/hackers-use-new-hexstrike-ai-tool-to-rapidly-exploit-n-day-flaws/如若转载,请注明原文地址
.jpg)
