Yeni AI destekli penetrasyon testi çerçevesi köylü, siber saldırı iş akışlarını tam olarak otomatikleştirmek için Kali Linux araç setlerini Deepseek AI modelleriyle birleştirir.
Başlangıçta Çin merkezli Grup Cyberspike tarafından geliştirilen bu araç, Python Paket Endeksi’nde Temmuz 2025 sürümünden bu yana hızla çekiş kazandı ve ilk iki aylık kullanılabilirliğinde 10.000’den fazla indirme biriktirdi.
Straiker’s AI Research (STAR) ekibindeki siber güvenlik araştırmacıları, köylülerin keşfi ile AI destekli penetrasyon testinde ilgili bir gelişmeyi ortaya çıkardılar.
Villager’ın ortaya çıkışı, siber güvenlik manzarasında önemli bir değişimi temsil ediyor ve araştırmacılar, meşru bir kırmızı takım aracından kötü niyetli tehdit aktörleri için tercih edilen bir silaha dönüşen kobalt grevinin kötü niyetli kullanımını takip edebileceğini söyledi.
Scripted oyun kitaplarına dayanan geleneksel penetrasyon testi çerçevelerinin aksine, Villager, düz metin komutlarını dinamik, AI güdümlü saldırı dizilerine dönüştürmek için doğal dil işlemeyi kullanır.
Villager, maksimum otomasyon ve minimum algılama için tasarlanmış birden fazla servis bileşeni içeren sofistike bir dağıtılmış mimari uygulayarak model bağlam protokolü (MCP) istemcisi olarak çalışır.
Çerçevenin temel bileşenleri, merkezi mesaj koordinasyonu için 25989 numaralı bağlantı noktasında çalışan bir MCP istemci hizmeti, istismar üretimi için 4.201 AI sistem istemleri içeren bir veritabanı ile güçlendirilmiş geliştirilmiş karar verme ve ağ taraması ve güvenlik açığı değerlendirmesi için otomatik olarak izole Kali Linux ortamlarını ortaya çıkaran talep konteyner oluşturmayı içerir.
Bu aracın en endişe verici özelliği, adli tespitten kaçınma yeteneğidir. Kaplar, etkinlik günlüklerini ve kanıtlarını otomatik olarak silen 24 saatlik bir kendini imha mekanizması ile yapılandırılırken, randomize SSH bağlantı noktaları tespit ve adli analizi önemli ölçüde daha zor hale getirir.
Saldırı konteynırlarının bu geçici doğası, AI güdümlü düzenleme ile birleştiğinde, kötü niyetli etkinlikleri izlemeye çalışan olay müdahale ekipleri için önemli engeller yaratır.
Villager’ın Deepseek AI modelleriyle entegrasyonu, http://gpus.dev.cyberspike.top:8000/v1/chat/completionsGPT-3.5 turbo tokenizasyon ile “AL-1S-20250421” olarak adlandırılmış tescilli bir model kullanılması.
Bu AI entegrasyonu, çerçevenin saldırı stratejilerini keşfedilen sistem özelliklerine göre dinamik olarak ayarlamasını, WordPress algılandığında otomatik olarak başlatma veya API uç noktaları tanımlandığında tarayıcı otomasyonuna kaydırılmasını sağlar.
Cyberspike olarak bilinen Villager’ın arkasındaki grup, ilk olarak alan adlarını kaydetti[.]27 Kasım 2023’te, resmi olarak yapay zeka ve uygulama yazılımı geliştirme sağlayıcısı olarak listelenen Çinli bir şirket olan Changchun Anshanyuan Technology Co., Ltd.
Bununla birlikte, soruşturmalar, resmi bir web sitesi mevcut ve standart kurumsal veritabanları aracılığıyla keşfedilebilir minimal iş izleri olmadan şirketin meşruiyetindeki boşluklarla ilgili olduğunu ortaya koyuyor.
Arşivlenmiş web sitesi anlık görüntüleri, CybersPike’ın daha önce Aralık 2023’te yayınlanan sürüm 1.1.7’nin “yerleşik ters proxy” ve “çok aşamalı jeneratör” işlevselliğini içeren 1.1.7 sürümünü içeren bir ürün paketi pazarladığını ortaya koyuyor.
Tüm siber araç seti aslında siber suçluların 2019 Github sürümünden bu yana yaygın olarak benimsediği iyi kurulmuş bir uzaktan erişim Truva atı olan Asyncrat’ın yeniden paketlenmiş bir versiyonuydu.
Villager’ın gelişiminin arkasındaki birey, birden fazla e -posta adresi tutan Çin HSCSEC ekibi için eski bir yakalama (CTF) oyuncusu olan @ @studefish001 olarak tanımlanıyor.
Otomatik saldırı senaryoları
Villager’ın görev tabanlı komut ve kontrol mimarisi, 37695 bağlantı noktasında çalışan Fastapi arayüzü aracılığıyla karmaşık, çok aşamalı saldırılar sağlar.
Çerçeve, doğal dil komutları aracılığıyla üst düzey hedefleri kabul eder, bunlar daha sonra bağımlılık izleme ve arıza kurtarma mekanizmaları ile alt görevlere otomatik olarak ayrıştırılır.
Bu yaklaşım, tehdit aktörlerinin “güvenlik açıkları için örnek.com test” gibi basit talepler sunmalarını ve kapsamlı otomatik penetrasyon testi kampanyaları almalarını sağlar.
Gerçek zamanlı izleme özellikleri, operatörlerin çeşitli uç noktalardan ilerlemeyi izlemelerini sağlar ve AI güdümlü siber operasyonlar için kapsamlı bir komut merkezi oluşturur.
Bu otomasyon seviyesi, sofistike saldırılar yapmak için gereken teknik uzmanlığı önemli ölçüde azaltır ve potansiyel olarak daha az vasıflı aktörlerin gelişmiş saldırı kampanyaları yürütmesini sağlar.
Port 8080’de çalışan tarayıcı otomasyon özellikleri, web tabanlı etkileşimleri ve istemci tarafı testlerini kullanırken, Pyeval () ve OS_EXECUTE_CMD () işlevleri aracılığıyla doğrudan kod yürütme sistem düzeyinde operasyonel özellik sağlar.
Yapay zeka odaklı karar verme süreçleri tarafından yönlendirilen bu araçların kombinasyonu, yeni keşfedilen güvenlik açıklarına ve sistem konfigürasyonlarına gerçek zamanlı olarak uyum sağlayabilen saldırı zincirleri oluşturur.
Resmi Python Paket Endeksi aracılığıyla köylünün yaygın mevcudiyeti, önemli kurumsal güvenlik sonuçları yaratır.
Kuruluşlar, daha sık ve otomatik harici tarama girişimlerinden artan risklerle, tespit ve yanıt pencerelerini sıkıştıran daha hızlı saldırı ömrü ve ilişkilendirme çabalarını karmaşıklaştıran harmanlanmış saldırılarda hazır araçların daha fazla kullanımı ile karşı karşıyadır.
Aracın meşru kalkınma altyapısı ile entegrasyonu, CI/CD boru hatları olan kuruluşlar veya yanlışlıkla kötü niyetli paketler kurabilecek geliştirme iş istasyonları için tedarik zinciri endişelerini de gündeme getirmektedir.
Güvenlik uzmanları, ortaya çıkan bu tehdide yanıt olarak birkaç kritik savunma önleminin uygulanmasını önermektedir.
Kuruluşlar, model bağlam protokol iletişimlerinin gerçek zamanlı incelemesini ve filtrelenmesini sağlamak için MCP protokolü güvenlik ağ geçitlerini dağıtmalı, kötü niyetli araç çağırma modellerinin ve yetkisiz AI ajan davranışlarının tespit edilmesini sağlayarak.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.