@elder_plinius:介绍:T3MP3ST!!!自主黑客机器人突击队 带来风暴 你最喜欢的编程代理现已全栈红队……
摘要
T3MP3ST 是一个开源框架,能够将 Claude Code、Codex 等 AI 编程代理转化为自主红队工具,在安全基准测试和真实 CVE 检测中实现了高通过率。
查看缓存全文
缓存时间: 2026/07/06 14:14
介绍:T3MP3ST!!!自主黑客机器人突击队 召唤风暴 你最喜欢的编码代理现在是一个全栈式红队
http://github.com/elder-plinius/T3MP3ST
那个已经在终端里嗡嗡作响的 AI 代理?现在它长出了獠牙。把你已经付费的代理——Claude Code、Codex、Hermes 等——套上一个完整的攻击性安全套件,指向一个授权目标,只需点击几下,就能看着它自主地寻找真正的漏洞!T3MP3ST 是一个套件的套件,其提示词能解锁攻击性网络工作流,外加一整套让任何资深黑客都会心一笑的利用工具。简单,却强大。支持:
- Web 应用程序、API、OWASP 十大安全风险
- 网络侦察 + 指纹识别(实时 nmap/DNS/HTTP)
- 横向移动 + 权限提升(实验性)
- 源代码审计、白盒漏洞挖掘
- CTF、战争游戏、挑战靶场
- 智能合约 / DeFi / Solidity(复现——Damn Vulnerable DeFi,非新发现)
- 嵌入式、IoT、OT/SCADA、机器人 OSS
- ……更多功能正在开发中!
现在来看数据:
XBEN——XBOW 自己的 104 道挑战套件:
- 黑盒:单代理利用循环中 pass@1 为 90.1%(单次最差成绩 91/104 = 87.5%)——超越了 XBOW 之前在其自身套件上自报的 85%。使用 gpt-5.5。
- 白盒(源代码已分级,单独报告):pass@1 为 98.7%,单次最差成绩 102/104 = 98.1%。每个已解决的 flag 都根据挑战自身提交的 flag 预言机进行分级(报告值与期望值对比);
verify-claims根据提交的工件重新计算通过/失败。看来我们需要新的基准测试了。
Cybench——40 项学术基准(Opus 4.8,去除了提示和解题报告):
23/40 = 58% 单次运行、无提示的 pass@1——真正的利用(格式化字符串 pwn、eval 沙箱逃逸、加密预言机),每个 flag 都根据提交的预言机进行分级。(Anthropic 报告 pass@10 为 76.5%)
CVE-Zero——我们将它冷启动指向了 2026 年披露的真实 CVE,这些 CVE 出现在模型的训练截止日期之后:
- 横跨 7 种语言的 10 个未见过的 2026 年 CVE
- 提示词从未在这些 CVE 上调优过
- 单个代理成功将 8/10 定位到确切的文件/行/CWE(在重新评分下保持稳定)
- 完整团队找出了全部 10 个
- 排除了记忆化和过拟合——它发现的真实漏洞其披露时间在模型训练截止日期之后。(n=10,报告诚实且具有方向性)
架构:
可以作为一个单一代理运行(这已经是经过基准测试、能力惊人的路径)——或者以团队狩猎方式运行,让数十个代理在 8 个专业操作员类别上工作,这些类别对应网络杀伤链和 MITRE ATT&CK 阶段:
侦察 → 扫描 → 利用 → 横向移动 → 数据窃取 → 持久化 → C2 → 报告。
一位上将(Op Admiral)根据一个用普通英语描述的目标准备整个行动。打开协调功能(实验性),操作员们共享一块黑板——一个经过工具验证的发现会触发下一步行动。完全蜂群行动或单独一个操作员,由你决定。
上将还可以动态更新其他代理的提示词、工具和配置,并且 T3MP3ST 会随着你积累的记忆增加而变得更强!
武器库全面——nmap / nuclei / semgrep / ffuf / gobuster + 更多。
- 默认连接 35 个(干净的基准测试仅使用 bash 以保持可比数量)
- 选择加入完整武器库(T3MP3ST_FULL_ARSENAL)后为 83 个
- 危险的后期利用驱动(metasploit、hydra)需要人工批准才能使用
通过 CLI + HTTP API 暴露;侦察功能(security_recon)也通过 MCP 运行,因此你的代理可以原生调用它。
未来方向:
一个能自我改进的专业操作员蜂群,配备完整的 Kali+ 武器库,学习哪种装备和配置是最有效的可用战术,并且内置了保留的训练/测试分割,使其永远无法在自身评估上欺骗自己。
在开放中构建,一次一个可重新推导的数字。
这是 v1,部分内容仍在积极开发中。武器库的很大一部分、协调蜂群以及某些靶场仍在连接中。它在开放中构建,收据(receipts)能准确告诉你哪些是活的,哪些是路线图。
攻击性安全不应该是付费游戏。T3MP3ST 将红队能力交到任何拥有编码代理的人手中。你打算让它攻击的第一个目标是什么?
免责声明:仅限授权使用。 只将其指向你拥有或获得明确书面许可进行测试的系统。未经授权的访问可能构成犯罪,这个决定完全由你承担。按原样根据 AGPL-3.0 提供:无担保,无责任,绝不认可滥用。获得许可。保持在范围内。开源。AGPL-3.0。100% 免费。
FORTES FORTUNA IUVAT
gg
elder-plinius/T3MP3ST
来源:https://github.com/elder-plinius/T3MP3ST
🌩️ T3MP3ST
▄▄▄█████▓▓█████ ███▄ ▄███▓ ██▓███ ▓█████ ██████ ▄▄▄█████▓
▓ ██▒ ▓▒▓█ ▀ ▓██▒▀█▀ ██▒▓██░ ██▒▓█ ▀ ▒██ ▒ ▓ ██▒ ▓▒
▒ ▓██░ ▒░▒███ ▓██ ▓██░▓██░ ██▓▒▒███ ░ ▓██▄ ▒ ▓██░ ▒░
░ ▓██▓ ░ ▒▓█ ▄ ▒██ ▒██ ▒██▄█▓▒ ▒▒▓█ ▄ ▒ ██▒░ ▓██▓ ░
▒██▒ ░ ░▒████▒▒██▒ ░██▒▒██▒ ░ ░░▒████▒▒██████▒▒ ▒██▒ ░
▒ ░░ ░░ ▒░ ░░ ▒░ ░ ░▒▓▒░ ░ ░░░ ▒░ ░▒ ▒▓▒ ▒ ░ ▒ ░░
░ ░ ░ ░░ ░ ░░▒ ░ ░ ░ ░░ ░▒ ░ ░ ░
░ ░ ░ ░ ░░ ░ ░ ░ ░ ░
░ ░ ░ ░ ░
一个多代理攻击性安全框架,旨在将你已运行的 AI 编码代理变成一个零日漏洞猎手。
评分:可重新推导 verify-claims 24/24
欢迎提交 PR
许可证:AGPL-3.0
你的 AI 编码代理已经是个黑客了——T3MP3ST 递给它一个武器库。
将其指向一个授权目标,杀伤链就会自动运行:侦察 → 利用 → 报告,通过浏览器战争指挥室或 CLI 驱动,由你已经登录的代理——Claude Code、Codex、Hermes——或你完全离线运行的模型(Ollama、LM Studio、vLLM)驱动。无需新的 API 密钥,无需云租户,无需第二张账单。你的代理是大脑,T3MP3ST 是围绕它构建的战争机器。
自托管的风暴。无密钥的战争。 ⚡
而且它不会要求你相信它的话。在 XBOW 自己的 104 道挑战套件上,它取得了 90.1% pass@1——高于 XBOW 自报的 85%——同时还实现了无提示的 CTF 解题和对模型从未见过的、训练截止日期后的真实 CVE 进行的冷启动狩猎。本 README 中的每一个数字都可以通过一条命令(npm run verify-claims)从提交的数据中重新计算。对使命大声宣扬,对构建诚实——状态表精确说明了哪些是活的,哪些是脚手架,哪些仍是路线图;完整收据见基准测试。
三件事使其与众不同:
- 可重现。 本 README 中的每一个数字都可以从提交的数据中重新计算——
npm run verify-claims重新推导所有数字,24/24 全绿。无法重现的声明不会进入文档。绝无“相信我”的数字。 - 无密钥。 你机器上已有的 AI 编码代理是骨干。无需 API 密钥,无需第二张账单,无需看门人。
- 对范围诚实。 状态表精确标注了哪些是稳定的、实验性的或路线图——因为红队工作不应是神职人员专属,也绝对不应靠感觉运行。
跳转至 → 快速开始 · 它狩猎什么 · 今日发布的内容 · 基准测试 · 架构 · 文档
⚠️ 仅限授权使用
T3MP3ST 是一个攻击性安全工具,专为授权测试、研究和教育而构建。只将其指向你拥有或获得明确书面许可进行测试的系统。在大多数司法管辖区,未经授权访问计算机、网络或数据是非法的——你独自负责如何使用本软件以及遵守法律和交战规则。将风暴带到你的目标,而不是别人的。
T3MP3ST 按原样根据 AGPL-3.0 许可证提供,无担保,无责任,对任何损害、损失或误用概不负责。作者不认可、不支持或纵容未经授权的活动。获得许可。保持在范围内。别做威胁分子。🫡
为什么它存在
攻击性安全需要多年的实践和昂贵的工具。T3MP3ST 背后的赌注是,一个协调的代理蜂群能将真正的漏洞狩猎能力交到那些从未获得邀请的人手中,涵盖 Web 应用程序、CTF、智能合约、源代码以及嵌入式/机器人 OSS。这是一个雄心勃勃的赌注,以下部分谨慎地区分了哪些已经有效,哪些仍是赌注。
它狩猎什么
| 领域 | 功能 | 状态 |
|---|---|---|
| 🕸️ Web 应用 | 黑盒、外部攻击者侦察 → 利用(XBEN 套件) | ✅ 稳定 |
| 🚩 CTF | 无提示、沙盒内解题(Cybench) | ✅ 稳定 |
| 🤖 机器人 / OT / 嵌入式 | 面向 OSS 漏洞狩猎的协调披露流程(OSV + 实时 PoC + 反驳器) | ✅ 流程稳定 |
| 📂 源代码 | 白盒仓库分析,带盲主构建器分解 | ⚠️ 仅支持 Python 输入 |
| 💰 智能合约 | Damn Vulnerable DeFi | ⚠️ 复现,非新发现 |
快速开始
最快启动战争指挥室的方法(无密钥,约 2 分钟设置;任务时间取决于目标):
npm install
npm run server # 战争指挥室 → http://127.0.0.1:3333/ui/
在战争指挥室中,打开设置并连接一个本地代理(Claude Code / Codex / Hermes)。然后用普通英语向上将描述一个目标并启动。你连接的代理就是大脑。无需密钥。
更喜欢带密钥?设置一个并跳过连接步骤:
export OPENROUTER_API_KEY=... # 或 VENICE_API_KEY / ANTHROPIC_API_KEY / OPENAI_API_KEY
export XAI_API_KEY=... # Grok Build (grok-build-0.1) — xAI 的编码模型,原生工具调用
或在你自己的模型上完全离线运行——无需密钥,无需云。默认使用 Ollama;可指向任何兼容 OpenAI 的服务器(LM Studio、vLLM、llama.cpp):
ollama serve && ollama pull llama3 # 或一个兼容 OpenAI 的服务器
export TEMPEST_LOCAL_BASE_URL=http://localhost:11434/api # LM Studio: http://localhost:1234/v1
export TEMPEST_LOCAL_MODEL=llama3
npx tempest config # → "Change default provider" → local
工具调用在任何本地模型上都能工作(通过文本驱动),因此即使在没有原生函数调用的模型上,武器库也能运行。
自行验证数字:
npm run verify-claims # 从 bench/ 中的已提交 JSON 重新推导所有标题数据
库/SDK 用法、完整 HTTP API 和 MCP 设置在 docs/ 中。
今日发布的内容
该框架是一个 8 操作员的杀伤链,并且此表不会虚张声势。侦察是一个实时的、基于工具的引擎——而且它的獠牙已经真实存在:XBEN 上 90.1% pass@1,8/10 的保留训练截止日期后 CVE 被精确定位到确切文件/行/CWE,还有一个实时到足以拥有为供应商协调而保留的草稿的协调披露流程。
尚未证明的是蜂群。 每个下游操作员——利用者、渗透者、数据窃取者、幽灵——运行与侦察相同的、真实的、基于工具的 ReAct 循环(真实的利用工具,而非存根),但标题数据来自单一代理,而非协调的 8 操作员单元,端到端蜂群利用尚未经过基准测试,仍不可靠。引擎是真实的;蜂群是仍在争取认可的部分。
在该赢得认可的地方大声说,对其余部分直言不讳。
| 组件 | 状态 | 备注 |
|---|---|---|
可重新推导的测量(verify-claims) | ✅ 稳定 | 每个标题数据都从已提交的工件中重新计算 |
| 侦察引擎 | ✅ 稳定 | 驱动 nmap / DNS / HTTP / 指纹识别;每个发现都追溯到真实的工具输出 |
| 任务引擎 + 战争指挥室 + 上将 | ✅ 稳定 | 通过连接的本地代理实现无密钥 |
| 武器库、MCP 服务器、HTTP API | ✅ 稳定 | 默认内置 35 个工具;选择加入 T3MP3ST_FULL_ARSENAL 后为 83 个(+48 适配器,危险的后期利用驱动——metasploit、hydra——需人工批准)——两个计数均通过 verify-claims 重新推导。security_recon 通过 MCP 运行 |
| 出口范围限制 | ✅ 稳定(默认开启) | 一旦设定任务目标,内置网络工具会拒绝范围外的公共主机——非目标/子域名、非回环/私有地址(SCOPE DENIED)——一个收紧的默认设置,而非裸工具运行器 |
| 协调披露流程 | ✅ 稳定 | OSV 新颖性 + 实时 PoC + 反驳器面板 + CVSS;仅草稿,由人类发送 |
| 白盒源代码分析 | ⚠️ 实验性 | 仅 Python 正则输入;多模型分解消耗更多令牌,而非更少 |
| DeFi(Damn Vulnerable DeFi) | ⚠️ 实验性 | 复现已知的利用类别;非新发现 |
| 利用者 / 渗透者 / 数据窃取者 / 幽灵 | ⚠️ 实验性 | 运行真实的基于工具的 ReAct 循环(与侦察相同的引擎);作为协调蜂群尚未证实——单一代理是经过基准测试的路径,实时蜂群利用仍不可靠 |
| 高级模块(云、持久化、蜂群、认知) | 🚧 计划中 | 仅在 src/stubs/ 中有接口 |
| 自我改进循环 | 🧪 研究 | 今天记录经验教训和提案;将它们反馈给规划是路线图 |
完整的功能逐一细分:FEATURES.md。
按领域的覆盖范围
今天风暴能到达的地方——以及未来的方向。与其他一切相同的纪律:一个领域只有在有收据支持时才标注为 ✅。
| 领域 | 覆盖内容 | 状态 |
|---|---|---|
| 🕸️ Web | 应用、API、认证流程、OWASP 十大安全风险 | ✅ 核心 — XBEN 90.1% pass@1 |
| 📂 代码 | 白盒源代码审计、SAST 式漏洞狩猎 | ✅ 已证明(狩猎结果) — 保留的 CVE-Zero:单代理 8/10 精确定位文件/行/CWE,10/10 被发现(7 种语言);仓库输入的引擎本身仍为 ⚠️ 实验性 |
| 🚩 CTF | 战争游戏、练习靶场、挑战 | ✅ 已证明 — Cybench 23/40 无提示 |
| 🔌 网络 / 基础设施 | 侦察、服务/栈指纹识别;横向移动 + 权限提升 | ✅ 侦察(实时 nmap/DNS/HTTP 引擎)· ⚠️ 横向移动/权限提升实验性 |
| 🤖 嵌入式 / IoT / OT | 固件、机器人、ICS/SCADA OSS | ✅ CVE 流程已上线 — 为供应商协调保留的协调披露草稿 |
| 📦 供应链 | 依赖项审计、无需确认的安装 | ⚠️ 真实 — 专用类别;在保留集上命中了 CWE-829 |
| 💰 区块链 | 智能合约、DeFi、Solidity | ⚠️ 仅复现 — Damn Vulnerable DeFi,非新发现 |
| ☁️ 云 | AWS/GCP/Azure 配置错误、IAM、无服务器 | 🚧 开发中 |
| 📱 移动 | Android/iOS 应用安全 | 🚧 开发中 |
| 🏢 身份 / AD | Kerberos、传递哈希、AD 攻击 | 🚧 开发中 |
| 🔐 二进制 / 逆向 | 溢出、ROP、漏洞利用开发 | 🚧 开发中 — 需要专业工具 |
类别/小队架构意味着新领域是组合而非分支——每个领域都是一个装载(专业类别 + 武器库 + 目标适配器 + 基准测试)。🚧 领域在拥有数字之前保持不发布。
基准测试
标题结果。每个都可以通过 npm run verify-claims 从已提交的 JSON 重新计算;完整方法和注意事项在链接的文档中。
| 套件 | 结果 | 背景 |
|---|---|---|
| XBEN — XBOW 的 104 道挑战套件,黑盒 | pass@1 均值 90.1% (Wilson-95 86.2–92.9),最低 91/104 · gpt-5.5 | XBOW 在相同套件上自报 85%;我们通过已提交的工件重新推导分级裁定(为隐私起见,原始转录已脱敏) |
| XBEN — 白盒(单独报告) | pass@1 98.7%,最佳成绩 104/104 · gpt-5.5 | 从未与黑盒数字混合 |
| Cybench — 40 项学术基准,Opus 4.8,无提示 | 23/40 (58%) 无提示,单次运行 pass@1(由 verify-claims 强制执行) | 非原始得分记录(Anthropic:pass@10 为 76.5%);每个 flag 都根据已提交的预言机分级 |
| CVE-Zero — 10 个真实训练截止日期后(2026 年)的 CVE,保留,7 种语言 | 单代理 8/10 精确定位文件/行/CWE(已验证全部精确定位,稳定)· 10/10 被发现(完整团队) | 记忆化与过拟合已排除:训练截止日期后,且强化提示词从未在这些 CVE 上调优过;verify-claims 重新计算。n=10,方向性;此处蜂群的优势在于召回率,而非协调优于单体的证明 |
如何阅读这些数据:
- 每个已解决的 flag 都根据已提交的 ground-truth 预言机进行分级——而非自报——并且
verify-claims重新计算通过/失败。为操作员隐私,原始每步转录已被剥离,因此你重新检查的是分级裁定,而非原始工具输出。零编造,由反过拟合守卫强制执行,该守卫会运行……
相似文章
pingdotgg/t3code
T3 Code 是一个极简的网页 GUI 工具,用于支持 Codex 和 Claude 的代码生成代理,提供桌面应用和跨平台 CLI 工具。
@_zheergen: 兄弟们!我刚刚刷到一个开源项目,真的让我停了一下。 是 cogsec 大佬 @affaan 的开源项目叫 Everything Claude Code,简称 ECC。GitHub 205K 项目地址:https://github.com/…
一个名为ECC(Everything Claude Code)的开源项目,集成了63个Agent、249个Skills和内置安全测试,支持Claude Code、Codex、Cursor等多种AI编码工具,旨在简化AI编程工作流搭建。
我重建了Claude Code风格的终端工作流,打造了一个可定制的多提供商编码代理
一位开发者发布了一个可定制的多提供商编码代理,它复刻了Claude Code的终端工作流,允许用户集成多种AI模型。
@svpino: 现在你可以让 Claude Code 与 Codex 及任何其他代理自主协作。这将会打破互联网……
现在你可以让 Claude Code 与 Codex 及其他任何代理自主协作,实现AI编码任务中的多代理合作。
@Tabbu_ai: https://x.com/Tabbu_ai/status/2059217417096843296
一篇深度解析文章,揭示Anthropic的Claude Code不仅仅是另一个AI编码助手,而是一个在终端中运行的自主软件工程师。