人工智能驱动的Villager渗透测试工具在滥用担忧中PyPI下载量达11,000次

一款由中国公司开发的新型人工智能（AI）驱动的渗透测试工具在Python Package Index（PyPI）代码库上的下载量已接近11,000次，这引发了人们的担忧，即该工具可能被网络犯罪分子改用于恶意目的。

这个名为“Villager”的框架据评估是Cyberspike的作品，该公司将这些工具定位为用于自动化测试流程的红队解决方案。2025年7月下旬，一个名为stupidfish001的用户首次将这个包上传到了PyPI，此人曾是中国HSCSEC团队的夺旗赛（CTF）选手。

Straiker研究人员丹·雷加拉多（Dan Regalado）和阿曼达·卢梭（Amanda Rousseau）在与《黑客新闻》（The Hacker News）分享的一份报告中表示：“这种快速的公开可用性和自动化能力带来了一种切实存在的风险，即Villager可能会重蹈Cobalt Strike的覆辙：商业或合法开发的工具被威胁行为者广泛用于恶意活动。”

“村民”（Villager）的出现，紧随Check Point披露威胁行为者正试图利用另一个新兴的人工智能辅助攻击性安全工具——HexStrike AI，来利用近期披露的安全漏洞之后。

随着生成式人工智能（又称GenAI）模型的出现，威胁行为者利用这项技术进行社会工程、技术和信息操作，这可能加快了行动速度、提升了专业知识获取能力并增强了可扩展性。

依赖这类工具的一个关键优势在于，它们降低了实施攻击的门槛，并缩短了实施此类攻击所需的时间和精力。曾经需要高技能操作人员和数周手动开发的工作，现在可以借助人工智能实现自动化，为恶意行为者提供漏洞利用编写、有效载荷交付甚至基础设施搭建方面的帮助。

“攻击利用可以大规模并行进行，智能体能够同时扫描数千个IP地址，”Check Point最近指出。“决策过程具有自适应性；失败的攻击尝试会自动调整方式重试，直至成功，这提高了整体的攻击成功率。”

斯特赖克指出，“村民”（Villager）作为现成的Python包可用，这意味着攻击者能轻松将该工具整合到他们的工作流程中，他称这是“人工智能驱动的攻击工具令人担忧的演变”。

Cyberspike于2023年11月首次出现，当时“cyberspike[.]top”域名由长春安善源科技有限公司注册，这是一家据称总部位于中国的人工智能公司。尽管如此，关于该公司业务的唯一信息来源来自一个名为猎聘的中国人才服务平台，这引发了人们对其背后操控者的质疑。

互联网档案馆上捕获的该域名快照显示，这款工具被宣传为一款网络攻击模拟和渗透测试后工具，旨在帮助组织评估并加强其网络安全态势。

经发现，Cyberspike一旦安装，就会集成作为远程访问工具（RAT）组件的插件，能够通过远程桌面访问、入侵Discord账户、键盘记录、劫持摄像头以及其他监控功能，对受害者进行侵入性的监视和控制。进一步分析发现，它与一款名为AsyncRAT的已知远程访问工具存在相似之处。

“Cyberspike将AsyncRAT整合到了其红队产品中，还添加了一些针对知名黑客工具（如Mimikatz）的插件，”Straiker表示。“这些整合举措表明，Cyberspike是如何将成熟的黑客工具和攻击性工具重新打包，形成一个专为渗透测试——或许还有恶意操作——设计的现成框架的。”

Villager似乎是Cyberspike推出的最新产品。作为模型上下文协议（MCP）客户端，它与Kali Linux工具集、LangChain以及深度求索（DeepSeek）的AI模型相集成，可实现测试工作流自动化、处理基于浏览器的交互，并能将自然语言指令转换为相应的技术指令。

除了利用包含4201个AI系统提示词的数据库生成漏洞利用程序并在渗透测试中做出实时决策外，这种原生AI渗透测试框架还会自动创建隔离的Kali Linux容器，用于网络扫描、漏洞评估和渗透测试，并在24小时后将其销毁，从而有效掩盖活动痕迹。

研究人员指出：“这些容器的短暂特性，再加上随机的SSH端口，使得人工智能驱动的攻击容器难以被检测，这让法医分析和威胁溯源变得更加复杂。”

命令与控制（C2）通过FastAPI接口实现，该接口用于处理传入的任务，而基于Python的Pydantic人工智能代理平台则用于标准化输出。

研究人员表示：“‘村民’（Villager）降低了运行复杂攻击工具链所需的技能和时间，使技能较低的攻击者能够实施更高级的入侵。其基于任务的架构——人工智能会根据目标动态协调工具，而非遵循僵化的攻击模式——标志着网络攻击实施方式发生了根本性转变。”

自动化侦察、利用尝试及后续活动的频率和速度不断提升，可能会增加整个企业的检测和响应负担。