در دنیای امروز، سرعت تکامل تهدیدات سایبری بسیار فراتر از توانایی تحلیلگران انسانی است. در حالی که بسیاری از ابزارهای امنیتی سعی میکنند تنها یک "رابط" (Wrapper) برای مدلهای زبانی (LLM) باشند، ابزاری مانند CyberStrike وارد میدان شده تا مفهوم "Agentic AI" را در امنیت آفند (Offensive Security) پیادهسازی کند. این ابزار نه تنها یک چتبات برای پرسیدن سوالات امنیتی است، بلکه یک سیستم عملیاتی است که میتواند reconnaissance، شناسایی آسیبپذیری و اکسپلویت را به صورت خودکار و هدفمند مدیریت کند.
خلاصه برای افراد پرمشغله
CyberStrike
یک فریمورک متنباز برای تست نفوذ خودکار است که از مدلهای زبانی (مانند Claude 3.5, GPT-4, DeepSeek) به عنوان مغز متفکر استفاده میکند. تفاوت اصلی آن با سایر ابزارها در Intelligence Layer آناست که متدولوژیهای OWASP و MITRE ATT&CK را به مدل تزریق میکند. این ابزار دارای ۱۳ ایجنت تخصصی (وب، موبایل، کلاود و...) است و از طریق پروتکل MCP به بیش از ۱۷۶ ابزار امنیتی متصل میشود. نصب آن ساده است و میتواند به صورت کاملاً آفلاین (Local) اجرا شود.
معرفی CyberStrike: فراتر از یک Wrapper ساده
بسیاری از ابزارهای AI Security تنها دستورات کاربر را به API ارسال میکنند و پاسخ را برمیگردانند. اما CyberStrike یک Intelligence Layer (لایه هوشمندی) را معرفی کرده است. این لایه مانند یک "مترجم تخصصی" عمل میکند که بین مدل زبانی و ابزارهای امنیتی قرار میگیرد.
هدف اصلی CyberStrike: تبدیل هر مدل زبانی (حتی مدلهای ضعیفتر) به یک متخصص امنیت آفند از طریق تزریق کانتکستهای دامنه-محور (Domain-Specific Context).
مزایای کلیدی:
عدم وابستگی به مدل (Zero Lock-in): شما میتوانید از هر مدل (Anthropic, OpenAI, Ollama و ...) استفاده کنید.
مدیریت کانتکست (Context Guard): جلوگیری از نشت پرومپت و متمرکز نگه داشتن ایجنت بر روی فاز فعلی تست.
ارکستراسیون ابزارها: زنجیره حمله را بر اساس یافتهها میسازد، نه بر اساس اسکریپتهای ثابت.
تحلیل فنی عمیق: معماری و اجزاء
۱. لایه هوشمندی (The Intelligence Layer)
این بخش قلب تپنده CyberStrike است و چهار وظیفه اصلی دارد:
Schema Normalization: خروجیهای مدلهای مختلف را به یک فرمت ساختاریافته تبدیل میکند تا ابزارهای امنیتی بتوانند آنها را پردازش کنند.
Context Guard: اطمینان حاصل میکند که ایجنت در هر مرحله (مثلاً شناسایی) فقط روی همان هدف تمرکز کند.
Provider Auto-detection: شناسایی خودکار نقطه انتهایی (Endpoint) مدل.
Tool Orchestration: زنجیرهسازی هوشمند ابزارها.
۲. ایجنتهای تخصصی (Specialized Agents)
در CyberStrike، شما با یک مدل کلی صحبت نمیکنید، بلکه بین ایجنتهای مختلف جابجا میشوید:
Web-Application Agent: متمرکز بر OWASP Top 10 و متدولوژی WSTG.
Cloud-Security Agent: متخصص در پیکربندیهای غلط IAM در AWS، Azure و GCP بر اساس بنچمارکهای CIS.
Mobile-Application Agent: استفاده از ابزارهایی مانند Frida و پیروی از استانداردهای MASTG/MASVS.
Internal-Network Agent: متخصص در حملات Active Directory، Kerberos و Lateral Movement.
۳. سیستم پروتکل MCP و Bolt
یکی از پیشرفتهترین ویژگیهای این ابزار، استفاده از Model Context Protocol (MCP) است.
Bolt: سرورهای ابزاری هستند که میتوانند روی VPSهای مختلف مستقر شوند. شما از ترمینال محلی خود دستور میدهید و Bolt ابزارهایی مانند nmap یا sqlmap را روی سرورهای دوردست اجرا کرده و نتایج را به صورت استریم به شما برمیگرداند.
راهنمای نصب و راهاندازی (Installation Guide)
پیشنیازها
داشتن Node.js (نسخه ۱۸ به بالا) و یک API Key از ارائهدهندگان LLM (یا نصب Ollama برای حالت آفلاین).
مراحل نصب
شما میتوانید از چندین روش مختلف برای نصب استفاده کنید:
۱. از طریق npm (پیشنهادی):
npm i -g @cyberstrike-io/cyberstrike@lates۲. از طریق Homebrew (برای macOS):
brew install CyberStrikeus/tap/cyberstrike
۳. از طریق Scoop (برای ویندوز):
scoop install cyberstrike
۴. نصب سریع از طریق curl (لینوکس و مک):
curl -fsSL https://cyberstrike.io/install | bash
اجرای اولیه
پس از نصب، دستور زیر را در ترمینال وارد کنید:
cyberstrike
در اولین اجرا، سیستم از شما میخواهد ارائهدهنده LLM (مثلاً OpenAI یا Claude) و API Key مربوطه را وارد کنید. پس از آن، محیط TUI (رابط متنی) فعال شده و شما آماده شروع تست هستید.
بازسازی زنجیره حمله در CyberStrike (Attack Chain)
وقتی یک هدف را به CyberStrike معرفی میکنید، فرآیند به صورت زیر پیش میرود:
Reconnaissance (شناسایی): ایجنت
cyberstrikeبا استفاده از ابزارهای OSINT و MCP-servers شروع به جمعآوری اطلاعات میکند.Surface Analysis: ترافیک وب از طریق HackBrowser (مرورگر داخلی مبتنی بر کرومیوم) کپچر شده و به خط لوله پروکسی ارسال میشود.
Vulnerability Discovery: هشت تستکننده (Proxy Testers) به صورت موازی حملاتی مانند IDOR، Injection و SSRF را بررسی میکنند.
Confirmation (تأیید): از پروتکل "سه دروازه" (3-gate confirmation) استفاده میشود:
درخواست پایه (Baseline) اجرای حمله مقایسه پاسخها.
اگر تفاوت قابل اندازهگیری باشد، آسیبپذیری گزارش میشود.
Exploitation: ایجنت تخصصی (مثلاً Web-Agent) سعی در اکسپلویت کردن یافتهها برای اثبات تاثیر (PoC) میکند.
تحلیل تخصصی AI Red Team
از دیدگاه یک تحلیلگر Red Team، CyberStrike یک ابزار خطرناک اما مفید است زیرا "حافظه عملیاتی" را به ابزارهای امنیتی اضافه میکند. در تستهای سنتی، خروجی nmap باید توسط انسان تحلیل شود تا دستور dirsearch صادر شود. در CyberStrike، مدل زبانی خروجی را میبیند، متوجه باز بودن پورت ۸۰۸۰ میشود و به صورت خودکار زنجیره ابزارهای مربوط به آن پورت را فعال میکند.
نکته امنیتی: استفاده از حالت Air-gapped با Ollama یا LM Studio برای سازمانهایی که دادههای حساس دارند حیاتی است، زیرا در این حالت هیچ دادهای از محیط شبکه خارج نمیشود.
راهکارهای دفاعی و توصیهها
برای تیمهای AI Security:
مانیتورینگ API: خروجیهای LLM که به ابزارهای سیستمی متصل هستند را مانیتور کنید تا از Prompt Injection در سطح Agent جلوگیری شود.
ایزولاسیون: همیشه از Bolt روی محیطهای ایزوله (Docker) استفاده کنید تا دسترسی ایجنت به سیستم میزبان محدود باشد.
برای تیمهای SOC:
شناسایی الگوهای خودکار: حملات Agentic AI دارای الگوهای تکرار شونده در بازههای زمانی کوتاه هستند. شناسایی رفتارهای غیرطبیعی در درخواستهای HTTP که توسط HackBrowser ایجاد میشوند، میتواند نشانه حمله باشد.
برای مدیران فناوری:
پذیرش ابزارهای خودکار: به جای مقاومت در برابر ابزارهای AI-powered، آنها را برای تستهای دورهای (Continuous Security Testing) به کار بگیرید تا نقاط ضعف پیش از مهاجمان شناسایی شوند.
6. MITRE ATLAS Mapping Table
7. OWASP GenAI Mapping Table
info@rnpg.ir
۶۶۱۷۵۰۳۰ -۰۲۱
تهران – خیابان ولیعصر – بالاتر از چهارراه ولیعصر – خیابان بزرگمهر – پلاک ۱۳ – واحد چهار
