在网络安全攻防当中，生成式AI已经具有举足轻重的地位，许多网络安全防护解决方案都引入了这种技术。虽然引入AI能够协助安全人员更有效率地处理相关工作，然而一旦这类工具遭到黑客利用，也同样可能造成安全威胁的加剧。

例如，号称能够整合超过150款安全工具，以及12款AI代理的自动化安全防御框架Hexstrike-AI，就是这种形态的代表。安全厂商Check Point发现，在这款框架首次推出正式版本（应为8月中旬发布的6.0版）之后不久，地下论坛就出现了尝试利用零时差漏洞的讨论，甚至被用于实际的攻击行动。

什么是Hexstrike-AI？

这是一个结合AI的渗透测试模型内容协议（MCP）框架，能够将多种大型语言模型（LLM）及AI代理用于自动化执行复杂的安全测试任务。该框架支持多个AI代理架构，用于进行情报解析及决策、实时漏洞分析，号称还能进一步自动化安全专家的工作，例如渗透测试、漏洞挖掘，甚至可以进行CTF夺旗赛。它将原本需要专家手动执行数小时的工作，缩短到数十分钟就能完成。

然而，这种高度自动化的工具，也成为黑客试图利用的目标。Check Point发现，在Hexstrike-AI正式发布数小时之后，暗网的聊天室中就有黑客尝试利用它追踪近期公布的零时差漏洞，后续更将其用于实际攻击，在受害系统中植入Web Shell，以便远程执行未经授权的代码。

Check Point强调，这次黑客利用的漏洞其实相当复杂，正常情况下需要非常高的技术水平才能利用。但黑客声称，原本需要好几天才能找到漏洞利用方法，借助Hexstrike-AI之后，只花了不到10分钟。

被利用的Citrix NetScaler漏洞

这项被黑客利用的安全漏洞，是8月26日Citrix披露的NetScaler零时差漏洞。根据Citrix的安全公告，该漏洞编号为CVE-2025-7775，属于内存溢出缺陷，攻击者可能借此实现远程执行任意代码（RCE）或造成服务中断（DoS），CVSS风险评分高达9.2，属于高危级别。

除此之外，Check Point指出，黑客似乎还利用了另外两个Citrix同期公布的漏洞CVE-2025-7776和CVE-2025-8424，并强调利用这些漏洞并不容易。攻击者必须熟悉内存运作机制、绕过身份验证，并了解NetScaler的整体架构。从以往的安全事件来看，这类漏洞的利用不仅需要高超的技术能力，往往还需要数周的开发时间，才能用于实战。

Hexstrike-AI如何改变攻击节奏？

如今有了Hexstrike-AI，攻击者在不到半天的时间内，就开始讨论如何通过这套渗透测试工具，扫描存在上述漏洞的NetScaler设备，并对其发动攻击。此外，已有多个团伙利用Hexstrike-AI找到存在漏洞的设备，并兜售相关清单。

Check Point指出，这一发现的影响非常深远。因为黑客不仅大幅缩短了攻击准备时间，还能利用AI代理进行大规模扫描。即使漏洞利用失败，AI代理还可以进行微调，持续尝试直到成功为止。