黑客借助HexStrike-AI工具可快速利用新型漏洞

研究发现，黑客正越来越多地在实际攻击中使用一款名为HexStrike-AI的新型AI驱动攻击性安全框架，利用新披露的n-day漏洞实施攻击。

这一活动由CheckPoint Research报告。该机构观察到，暗网上围绕HexStrike-AI的讨论十分活跃，且这些讨论与新披露的Citrix漏洞（包括CVE-2025-7775、CVE-2025-7776和CVE-2025-8424）的快速武器化密切相关。

根据ShadowServer基金会的数据，截至2025年9月2日，仍有近8000个端点易受CVE-2025-7775漏洞影响，较前一周的28000个有所下降。

落入不法分子手中的工具

HexStrike-AI本是网络安全研究员Muhammad Osama开发的合法红队工具，可集成AI代理，自主运行150多种网络安全工具，实现自动化渗透测试与漏洞发现。

其开发者描述道：“HexStrike AI通过MCP（管理控制协议）与外部大语言模型（LLM）进行‘人在环’交互，形成提示、分析、执行、反馈的持续循环。”该工具的客户端具备重试逻辑与恢复处理功能，可减轻复杂操作中单个步骤失败的影响——它会自动重试或调整配置，直至操作成功完成。

这款工具已于一个月前开源并上架GitHub平台，目前已获得1800个星标和400余次分支（fork）。遗憾的是，它也引起了黑客的注意，后者已开始将其用于攻击活动。 

CheckPoint指出，在Citrix NetScaler ADC和Gateway 0-day漏洞披露后的数小时内，黑客便开始在黑客论坛上讨论如何部署HexStrike-AI来利用这些漏洞。

关于使用HexStrike-AI对抗Citrix端点的讨论

据悉，攻击者利用该工具通过CVE-2025-7775漏洞实现未授权远程代码执行，随后在被攻陷的设备上植入webshell，部分攻击者还将被入侵的NetScaler实例挂牌出售。 

CheckPoint认为，攻击者很可能借助这款新型渗透测试框架实现攻击链自动化，涵盖扫描易受攻击的实例、构造漏洞利用程序、交付有效载荷（payload）以及维持持久控制等环节。

易受攻击的NetScaler实例列表

尽管目前尚未证实HexStrike-AI确实参与了这些攻击，但这种自动化程度或将使n-day漏洞的利用时间从数天缩短至几分钟。这种变化将使系统管理员本就紧张的补丁部署窗口期进一步压缩，留给他们应对攻击的时间愈发有限。 

漏洞披露与大规模利用之间的窗口期正急剧缩短。目前CVE-2025-7775已被用于野外攻击，而借助HexStrike-AI，未来几天的攻击量只会有增无减。”

应对建议

尽管快速部署补丁仍是关键，但AI驱动攻击框架带来的这种范式转变，使得构建强大、全面的安全防御体系变得更为重要。 

CheckPoint建议防御者重点关注以下方面：通过威胁情报实现早期预警、部署AI驱动的防御机制，以及建立自适应检测系统。