AgentCyberRange:衡量 AI 智能体在真实入侵中能走多远
2026 年 6 月的一个开放基准,让前沿 AI 在逼真的多主机靶场中运行。最强系统解决了 16.1% 的 Web 利用任务,甚至发现了一个未知的零日漏洞。
What is this?
AgentCyberRange 是一套开放的评测基础设施,由复旦大学的研究者于 2026 年 6 月 12 日发表在 arXiv 上,旨在回答孤立的 CTF 分数无法解答的问题:一个前沿 AI 系统在一次逼真入侵中能走多远——从一个暴露在外的 Web 服务,一路到攻陷内部网络?它不是抽象地测试单一漏洞的利用,而是把智能体放入真实靶场,衡量其能否串联起真实攻击的各个操作阶段:发现暴露服务、获得立足点、收集内部信息,再跨主机扩大攻陷范围。
作者将其定位为首个用于在可复现条件下衡量自主网络攻击能力的开放式多靶场平台。这一定位对防御方和安全团队很重要:目的不是武装攻击者,而是在实验室中尽早观察到新兴的进攻能力,赶在它出现于真实世界之前。
How it works
该基准刻意保留了入侵的端到端结构,而非将其拆分为孤立技能。它包含分布在 15 个真实 Web 应用中的 110 个漏洞,以及 8 个企业级靶场、共 156 台内部主机,分为两个阶段。Web 利用要求系统探索一个暴露的应用——发现隐藏的 URL 和输入参数——并把一个可触达的弱点(SQL 注入、SSRF、访问控制失效、命令注入、不安全的反序列化)转化为初始立足点。后利用则从该立足点出发,衡量内部侦察、权限提升以及跨主机的横向移动。部分靶场还加入了防御压力,包括蜜罐和主机防护,以观察系统能否在被监控的情况下推进。
一个名为 Cage 的配套工具链使评测可复现。智能体适配器通过统一接口暴露不同的运行环境——例如 Codex 与 Claude Code——使各系统在相同的提示词和步数预算下运行。基准管理器在隔离环境中部署 Web 应用与内部靶场,并在每次运行之间重置任务状态。验证器随后检查所声称的成功是否真有运行时证据支撑,而非智能体的一面之词。相关配置与流水线已在 GitHub 和 Hugging Face 上开源。理解该设计无需任何利用代码:其贡献是测量装置,而非武器。
Why it matters
所报告的数字是一种能力信号,而非恐慌按钮。在预算对齐的条件下评测的六个前沿系统中,最强配置——GPT-5.5 搭配 Codex——解决了 16.1% 的 Web 利用任务和 31.7% 的后利用任务;在给出更具体提示后,这两个比例升至 33.0% 和 46.3%。两点观察让画面更清晰。其一,系统有时会越出基准范围:在评测过程中,它们发现了有效的范围外漏洞,包括某个流行开源项目中此前未知的任意文件写入缺陷,并变异载荷以绕过主机防护。其二,可靠性仍然偏低——智能体会遗漏隐藏的攻击面、在多次运行间表现不稳定、在多步后利用链上失败,并触发蜜罐,在防御压力下留下告警信号。
综合来看,这就是有用的启示。当前的前沿智能体还不是可靠的端到端攻击者,但它们已经能完成相当一部分逼真操作,并能找到真实的漏洞。对于追踪危险能力趋势的人而言,孤立的 CTF 或单一漏洞分数会低估风险,因为它们跳过了真正定义一次入侵的”串联”。在可复现、可监控的条件下衡量整条链路,才能让安全或治理团队看到曲线在移动,而不是被它突袭。
Defenses
用端到端评测追踪能力,而非孤立任务。 一个在 CTF 谜题上表现平平的模型,仍可能串联侦察、立足点与横向移动。危险能力追踪应衡量完整的操作路径——这正是该基准所要弥补的空白。
在评测中加入防御压力。 带有蜜罐和主机防护的靶场暴露了一个稳定的弱点:智能体会留下告警信号并触发陷阱。假设对手是自动化的检测工程——诱饵资产、内部主机上的异常信号——在今天就能带来实实在在的优势。
将智能体的发现视为真实的披露。 系统在例行评测中挖出了一个未知的零日漏洞。若你让智能体面对自己的资产,请假定它们会找到真实且未修补的缺陷,并在开始前备好协调披露的通道。
预料到载荷会变异。 被评测的系统会调整载荷以绕过主机防护,因此仅靠特征签名的控制会迅速失效。应优先采用基于行为和影响的检测,而非签名匹配。
要求以证据支撑的成功。 该基准只有在运行时证据支持时才判定任务成功。请对你自己的红队和评测流水线施加同样的纪律:衡量已证实的影响,而非智能体的自我声明。
Status
| 项目 | 参考 | 说明 |
|---|---|---|
| 核心发布 | arXiv:2606.14295,2026 年 6 月 12 日 | AgentCyberRange + Cage 工具链,复旦大学 |
| 规模 | 同一论文 | 110 个漏洞、15 个 Web 应用、8 个靶场、156 台内部主机 |
| 阶段 | 同一论文 | Web 利用与后利用 |
| 最佳结果 | 同一论文 | GPT-5.5 + Codex:Web 16.1% / 后利用 31.7%;带提示 33.0% / 46.3% |
| 显著行为 | 同一论文 | 范围外零日(任意文件写入);变异载荷以绕过主机防护 |
| 可靠性 | 同一论文 | 不稳定、遗漏隐藏攻击面、多步链失败、触发蜜罐 |
| 制品 | GitHub / Hugging Face | 基准配置与评测流水线已开源 |
其持久的要点在于方法论:AI 的进攻能力必须在入侵真正发生的地方去衡量——覆盖整条链路,在可复现的条件下,并让防御压力处于回路之中。在该基准上,前沿智能体尚非可靠的攻击者,但它们已经足够强,以至于持续关注这条端到端曲线才是负责任的做法。