2026年7月绿盟科技成功举办AI安全创新成果发布会正式发布新一代智能渗透系统 AI-PTS 2.0。围绕任务规划、资产Web测绘、漏洞分析、攻击验证与报告生成等核心环节构建端到端自主化渗透测试闭环。相较上一代产品AI-PTS 2.0 的升级重点不再局限于工具调度效率提升而是进一步面向复杂业务场景、长周期测试任务和高对抗环境提升系统级自主研判、动态执行与持续进化能力。AI-PTS 2.0核心逻辑是将大模型长程推理能力、安全专家知识体系与工程化运行框架进行深度融合。产品底层依托智谱GLM-5.2大模型具备 1M 无损上下文窗口、长链路推理和自主工具创造能力重点强化了“AI像人一样思考和执行”的行为能力。在持续渗透测试任务中它不仅能像人类专家一样保持目标理解与状态记忆的一致性多维度研判漏洞、构建攻击链条并应对突发难题还凭借复杂问题解决能力的质的飞跃成功推动自动化渗透测试从“按规则执行”迈向“按目标推理”开启了全新可能。绿盟新一代智能化渗透系统架构智谱GLM-5.2 强力加持实现持续渗透技术跨越式升级全流程业务时序推演自动化挖掘深层业务逻辑漏洞在传统渗透测试中业务逻辑漏洞的挖掘高度依赖专家经验一直被视为自动化工具的“禁区”。受限于静态规则传统工具无法理解“先登录→再找回密码→再越权修改”背后的状态机逻辑与时序因果面对此类业务关联的开放性漏洞无法推导并验证攻击链。针对这一行业痛点绿盟科技AI-PTS在GLM-5.2多步链式推理能力的驱动下依托Web测绘与SDL STRIDE威胁建模机制实现了业务功能解析与时序验证质的飞跃。基于AI驱动浏览器构建的新一代爬虫引擎支持语义级页面识别与功能梳理智能串联页面与功能间的业务流转逻辑还原系统真实业务场景完成对目标系统的全面功能测绘。在Web测绘基础上AI-PTS通过威胁建模锚定业务风险点并基于功能构建风险验证Playbook对风险点发起精准的漏洞验证。这一风险验证机制使得系统首次具备了像人类专家一样从业务流程入手进行“对抗性思考”的能力。经实战检验AI-PTS成功自主验证出JeecgBoot任意用户密码重置等深层功能场景漏洞彻底填补了业务逻辑漏洞自动化验证领域的空白。长链路全局推理精准挖掘跨接口链式复杂漏洞GLM-5.2赋能的核心能力在于长链路推理、跨接口关联思考以及1M无损上下文这一能力组合确保了AI在长达数小时的渗透测试任务中能够始终保持逻辑连贯与状态稳定。在真实的攻防场景中高危漏洞往往具有极高的隐蔽性和对抗性且并非孤立存在传统渗透工具受限于基于固定规则的单点检测机制只能检测接口与参数难以洞悉跨功能、多接口间的因果关系无法有效识别复杂多阶链式漏洞。GLM-5.2的跨接口关联推演能力赋予了AI-PTS高级安全专家般的宏观视野使其能够将离散的检测点串联起来实现从单点“POC”验证向全链路“Playbook”推演的跨越。经绿盟科技实战验证AI-PTS通过Web测绘构建系统视图并在此基础上执行跨接口关联分析成功完成跨系统多阶链路存储xss漏洞利用链的自主检测。用户端系统用户设置→头像上传→构建恶意xss svg图片文件→上传并提交后台管理端系统管理员查看用户列表→加载用户svg头像→触发xss漏洞→返回管理员cookie。这一成果充分证实了GLM-5.2在关联分析复杂逻辑漏洞、提升深层次挖掘能力方面的关键价值。跨接口的多阶链式漏洞发现实时自主编程突围破解高防护场景渗透阻断行业痛点纵观当下的AI渗透测试工具大多停留在对既有工具集的任务级调度层面。当遭遇加密报文、WAF拦截或参数强校验等高对抗环境时预置脚本极易失效导致漏洞检测被迫停滞。此时系统不仅无法自主破局反而陷入两难要么等待安全专家人工介入指导要么直接放弃相关目标的深度检测实战表现大打折扣。相比之下AI-PTS依托GLM-5.2大模型强大的底层编码能力叠加绿盟自研Harness工程框架及深度适配的原子渗透工具彻底打破这一桎梏赋予了系统基于真实场景实时生成代码的“自主编程突围”能力以从容应对各类高对抗性防护场景·在资产测绘阶段系统调用实战中持续沉淀的反爬策略库精准规避目标的频率管控与特征识别实现高隐蔽性的稳态探测·面对加固与混淆的Web应用AI-PTS可自动执行脱壳反编译深度逆向前端JS源码精准定位加密算法入口与参数构造逻辑进而实时生成定制化加密Payload一击穿透报文防护。绿盟Harness构建可执行、可审计、可进化的AI渗透运行体系专家知识资产化将经验转化为可调用能力绿盟科技在网络安全领域深耕二十余年沉淀了海量真实渗透测试案例、靶场环境、攻防对抗经验及漏洞挖掘方法论。我们将专家经验与历史文档中难以复用的“隐性知识”通过知识工程与运行时编排机制转化为AI可理解、可调用、可审计的技能资产体系。依据渗透测试执行标准PTES这些专家经验被进一步固化为专属的渗透测试Playbooks知识资产。专属Harness工程保障长周期、多智能体协同执行AI-PTS采用经典的“指挥-执行”双层架构与“状态黑板”机制有效解决了多Agent分工协作中的信息孤岛与状态不一致问题。依托上下文压缩与长程工作记忆机制系统保障了海量资产在单次长时间渗透测试任务中的持续稳定执行在高质量输出测试发现结果的同时最大限度地降低了对目标系统的侵扰。三层上下文压缩机制保持长周期任务推理连续性针对渗透测试长周期任务中的上下文膨胀难题AI-PTS采用三层压缩机制第一层实施精细裁剪工具输出仅注入路径、规模及预览完整内容落盘保存第二层进行工具结果微压缩清理历史已消费的大体积输出仅保留近期结果与追溯引用第三层执行全量摘要压缩当接近窗口阈值时生成任务级摘要并重构注入关键状态信息如工具、计划在保留关键推理链路的同时最大化释放上下文空间确保 Agent 在有限上下文窗口内持续保持目标与执行脉络的高效连贯。持目标与执行脉络的长程工作记忆机制支撑恢复、协同与复用围绕渗透测试语义结构构建了面向渗透测试长程工作记忆机制不再完全依赖模型对话记忆使系统具备长周期恢复、跨 Worker 协同、过程审计和报告复用能力。长程记忆机制将一次性的渗透测试任务转化为可持续推理、可审计执行、可沉淀复用的 AI 渗透测试运行时体系。执行边界控制将安全约束嵌入运行机制渗透测试的 Harness 执行框架与 Playbook 为破坏性操作设定了清晰的安全边界。对于修改密码、删除数据、写入文件、执行 RCE 及批量变更等高风险行为系统不会仅凭任务提示直接执行而是强制进入阻塞Blocked状态。只有在获得用户明确授权后操作方可继续进行以此切实保障客户系统的业务连续性。数据飞轮与评估体系支撑能力沉淀、拉齐与持续进化数据飞轮与评估体系深度协同构建起“沉淀进化”与“度量拉齐”的双轮驱动模式。其中数据飞轮将实战渗透经验转化为可继承、可复用的战术资产赋予系统随任务积累而持续增强的特性评估体系则依托量化标准精确锚定各能力维度的差距确保每一次迭代改进均可验证、可追溯。二者相辅相成从根本上将渗透测试从传统的“一次性人力消耗型作业”重塑为“可持续积累、可量化演进的能力基础设施”。能力基线拉齐以高能力模型经验反哺全模型矩阵受合规要求、部署架构、成本结构、生态绑定等多重因素影响不同模型在渗透测试场景下的能力表现也会存在表现出差异性。以GLM作为基准持续积累的漏洞利用路径、测试策略、覆盖维度经飞轮沉淀后作为知识基座通过渗透测试能力评估体系精确度量各模型在每一能力维度上的差距驱动飞轮持续弥合保证所有模型承载的战术知识厚度一致拉齐接入模型在渗透测试方面的基准能力表现AI-PTS模型选型与能力持续积累不再构成矛盾。持续进化构建任务驱动的自增强闭环传统安全工具的能力演进高度依赖厂商的版本迭代与规则升级而AI-PTS则基于“数据飞轮”机制实现了任务驱动的自增强进化路径。每一次渗透任务都会产生结构化的评估数据涵盖检测覆盖是否完整、漏洞定级是否准确、推理链路是否合规等核心维度。这些数据均被纳入数据飞轮体系作为下一轮迭代优化的输入支持Prompt策略调优、Playbook补充及规则体系完善从而持续提升自主渗透能力。任务执行频次越高系统积累的知识存量越深厚面对新场景的渗透能力起跑线也就越高。结语以Mythos为代表的大模型将漏洞挖掘压缩至秒级传统“打补丁”式被动防御遇到极大挑战。未来的安全博弈胜负不再取决于团队规模而在于人类专家智慧与AI规模化战力的深度融合。面对此消彼长的攻防失衡危局绿盟科技AI-PTS深度融合国产顶尖模型智谱GLM-5.2以实战淬炼集体智慧全面释放模型安全的效能。这不仅是产品的跨越式升级更是抢占“以AI对抗AI”制高点、迈向“人机协同”决胜未来的关键一击