你有没有想过——你每天用来写代码、debug、补测试的 AI 编程 Agent(Claude Code、Codex、Hermes 这些),其实只要给它装上一套"武器库",就能直接变成安全研究员、攻击模拟器,甚至零日猎人。
T3MP3ST 就是干这个的:一个开源的多 Agent 攻防安全框架。
它不替换你的 Claude Code / Codex / Hermes,而是把它们"装上武器库",让已经跑在你机器上的 AI Agent 自己跑完 侦察 → 利用 → 出报告 的整条杀伤链。

故事从一个老问题说起
传统的渗透测试流程大家都熟:手动跑 Nmap、用 BurpSuite 抓包、跑 Metasploit、写报告。一套下来几天过去了。
AI Agent 革命之后有人开始想:能不能让 LLM 自己跑 Recon?让它自己调工具、自己判断、自己写报告?
但问题是——
- Claude Code 不知道
nmap的最新参数 - Codex 不会用 BurpSuite 的 API
- 你告诉它"帮我做个渗透测试",它只是嘴上同意,实际啥也没干
T3MP3ST 的解法很直接:给本地已经跑着的 AI Agent 装上一套 MCP 工具集——不是重新训练一个 AI 模型,而是把安全领域专用的工具(Nmap、ExploitDB、Metasploit、Shodan、SQLMap、TruffleHog……)打包成 MCP server,让现有 Agent 能调用。
T3MP3ST 是什么
T3MP3ST 是一款面向合法安全研究、漏洞赏金、红队演练的开源多 Agent 攻防安全框架。
它运行在你的本地机器上,把 Claude Code / Codex / Hermes 这些 AI 编程 Agent 打造成自主的渗透测试代理:自己跑侦察、自己发现漏洞、自己尝试利用、自己出报告——你只负责拿勺子舀结果。
核心特性:
- 🔌 多 AI Agent 兼容:Claude Code / Codex / Hermes 都能用,不绑定特定厂商
- 🧰 60+ 安全工具集成:Nmap、Metasploit、ExploitDB、Shodan、SQLMap、TruffleHog 等都按 MCP 规范接好
- 🤖 全自主工作流:侦察 → 武器化 → 利用 → 出报告,全程不用人手把手
- 📊 结构化报告输出:CWE 编号、PoC、利用步骤、影响范围,全部自动生成
- 🛡️ 多层防护:目标白名单 + 速率限制 + 操作审计,避免误伤生产
- 📜 AGPL-3.0 开源:社区驱动,接受 PR
架构怎么搭的

整个系统分四层:
1. AI Agent 层
你机器上已经跑着的 Claude Code / Codex / Hermes。T3MP3ST 不会替换它们,而是作为 MCP client 给它们分发工具。
2. T3MP3ST Orchestrator(编排器)
核心中间层,负责:
- 任务分解:把"对 example.com 做一次黑盒渗透"拆成子任务
- 工具调度:把每个任务路由到对应工具
- 上下文管理:把上游工具的结果喂给下一步
- 决策循环:判断什么时候够、什么时候继续
3. MCP Tool Layer(MCP 工具层)
所有安全工具按 MCP(Model Context Protocol)规范包装成 server,Agent 通过标准协议调用。T3MP3ST 自带 60+ 工具的封装:
- 侦察类:Nmap、Masscan、Shodan、Censys、DNSdumpster
- 漏洞扫描:Nuclei、OpenVAS、Trivy、Snyk
- Web 安全:BurpSuite CLI、SQLMap、XSStrike、ffuf
- 凭据/泄露:TruffleHog、gitrob、pompem
- 利用框架:Metasploit RPC、ExploitDB 检索
- 云原生:kube-hunter、Prowler(AWS)、ScoutSuite
4. Safety Layer(安全护栏)
这一层是 T3MP3ST 区别于"危险玩具"的关键:
- Target allowlist:只能扫你清单里的目标
- Rate limit:避免被目标 IDS/IPS 干掉
- Audit log:所有 Agent 操作都记账,可回溯
- Dry-run 模式:默认只生成计划、不真执行
典型工作流
一个完整的 T3MP3ST 任务长这样:
Step 1:发起任务(自然语言)
你在 Claude Code 里输入:
用 T3MP3ST 对 staging.example.com 做一次 Web 应用渗透测试,范围限定 staging 子域,可以黑盒,别碰生产数据库。
Step 2:自主侦察
Agent 自己调子域枚举、端口扫描、技术栈识别,画出 attack surface。
Step 3:漏洞识别
针对每个暴露面,Agent 自动跑对应的扫描器,整理出可疑点。
Step 4:尝试利用
对于高置信漏洞,Agent 调 ExploitDB 检索已公开 PoC,或自己写小脚本验证。每一步都被护栏拦着检查。
Step 5:结构化报告
最后输出 Markdown 报告,包含:
- 概要 & 风险评级(CVSS)
- 受影响端点列表
- 每个漏洞的 PoC / 复现步骤
- 修复建议
- 完整 audit log(哪个 Agent 在何时调了哪个工具)
整个过程你不用一直盯着——设好护栏让它自己跑,完了回来读报告。
为什么这一招管用
1. 复用你已有的 Agent
不用换工具、不用学新 LLM。你已经在用的 Claude Code / Codex 直接变成安全研究员。
2. 工具已经在那
T3MP3ST 不是从零开发一套工具集,而是把业界主流的 60+ 安全工具按 MCP 规范重新接了一遍,相当于给 Agent 配了一个"万能工具箱"。
3. 安全护栏比 AI 自己判断更可靠
Agent 不能自己决定"这个目标能不能扫"——必须先在白名单里登记。这种"AI 提建议、护栏拍板"的设计是 T3MP3ST 的核心。
4. 报告直接对接 Bug Bounty 流程
出的是结构化 Markdown,能直接复制到 HackerOne / Immunefi 的提交模板。
5. AGPL-3.0 开源
意味着任何用它提供的服务也必须开源——企业红队可以放心 fork 改内部用。
争议与边界
说清楚几个点:
⚠️ 必须明确授权
T3MP3ST 的设计思路是"协助合法安全研究"。扫未授权目标的合法性问题不在工具范畴内。
⚠️ 不是替换专业红队
工具能覆盖 80% 自动化侦察 + 已知漏洞利用,但 APT 级别的复杂攻击链还是需要人来。
⚠️ AI 决策的可解释性
当 Agent 自己决定"用 SQLMap 还是 XSStrike"时,理由不总是透明的。审计日志可部分缓解,但没法完全替代人工 review。
快速上手
git clone https://github.com/your-org/T3MP3ST.git
cd T3MP3ST
pip install -r requirements.txt
# 初始化工具白名单和护栏
cp config/allowlist.example.yaml config/allowlist.yaml
vim config/allowlist.yaml # 添加你的测试目标
# 启动 orchestrator
python t3mp3st.py start --agent claude-code
# 在 Claude Code 里发起任务
> 用 T3MP3ST 对 staging.local 做一次 Web 渗透,黑盒模式
前置条件:
- 本地已安装 Claude Code CLI(或 Codex / Hermes)
- Python 3.10+
- 可选:本地运行的安全工具二进制(Nmap、SQLMap 等)
适合谁
✅ 强烈推荐:
- 做漏洞赏金的独立研究者(自动化让效率翻倍)
- 企业内部红队 & DevSecOps 团队
- 安全研究实验室 / 高校研究人员
- 已经重度依赖 AI Agent 的开发者,想顺手把安全测试也自动化
❌ 可能不合适:
- 完全没碰过 AI Agent 的用户(先把 Claude Code 用顺再玩这个)
- 需要一键自动找零日的"白嫖党"(T3MP3ST 不会替你做判断)
- 只能在生产环境跑的客户(建议先从测试环境开始)
最后
T3MP3ST 不是一个"万能 AI 安全神器",它是个务实的多 Agent 编排框架——把业界已有的安全工具按 MCP 规范接好,让已有的 AI Agent 能直接调用。
对于已经在用 Claude Code / Codex / Hermes 的开发者来说,这条曲线的价值在"顺手"——不用换工具、不用学新模型,安装一下就能给你的 Agent 加上一整套安全工具包。
在这个 AI Agent 落地越来越快的节点上,把"AI Agent + 安全工具"的整合标准化,本身就是有意义的开源贡献。
相关链接:
- GitHub:https://github.com/your-org/T3MP3ST(项目主页,开源仓库地址请以官方页面为准)
- 相关背景:MCP(Model Context Protocol)规范文档
- 参考项目:Awesome-MCP-Servers、Claude Code Tool Catalog
默认评论
Halo系统提供的评论