Max Knyazev is typing…
Max Knyazev is typing…
Читать в Telegram

HexStrike AI: массовая эксплуатация уязвимостей Citrix

Max Knyazev is typing…

Меня зовут Максим Князев. На канале я пишу об Интернете вещей, информационной безопасности и технологиях так, чтобы было понятно и полезно. Разбираю Edge AI, стандарты, уязвимости и инструменты безопасной разработки, делюсь практическим опытом и вдохновляющими кейсами.

Открыть в TelegramДругие публикации
hexstrike aicitrixcve-2025-7775

На даркнет-форумах хакеры начали активно обсуждать новый ИИ-фреймворк HexStrike AI, который изначально задумывался как легитимный инструмент для red team, но уже используется для эксплуатации свежих уязвимостей в Citrix (CVE-2025-7775, CVE-2025-7776, CVE-2025-8424) 😏

HexStrike AI всего месяц как появился на GitHub и уже собрал 2400 звёзд. Его автор, исследователь Мухаммад Осама, позиционирует проект как «ИИ-оркестратор» для пентестов — система умеет интегрировать более 150 инструментов, работать через внешние LLM и запускать атаки в полностью автономном режиме. Идея в том, чтобы безопасники могли быстрее проверять устойчивость инфраструктуры. Но, как это обычно бывает, злоумышленники тоже мимо такого решили не проходить

По данным ShadowServer, ещё неделю назад было около 28 тысяч уязвимых Citrix-эндпоинтов, а сейчас уже меньше 8 тысяч. Но именно с помощью HexStrike AI злоумышленники обсуждали автоматизацию поиска и эксплуатации, а дальше и продажу скомпрометированных NetScaler. Всё это происходило буквально спустя 12 часов после раскрытия уязвимостей 😳

И вот тут становится по-настоящему тревожно. Если раньше окно между публикацией бага и его массовой эксплуатацией измерялось днями, то теперь, с ИИ-фреймворками вроде HexStrike AI, оно сжимается до пары часов. Атаки, которые требовали усилий квалифицированных специалистов, превращаются в рутинные задачи для нейросети, которая просто пробует снова и снова, пока не пробьет защиту

Автор фреймворка, разумеется, подчёркивает, что его цель — помочь безопасникам, а не наоборот. Но факт остаётся фактом: инструмент с открытым исходным кодом уже активно изучается в даркнете и, естественно, будет использоваться злоумышленниками в том числе 🧠

Если подумать, это ведь логично. Любой инструмент можно использовать в разных целях. Поэтому нет ничего удивительного в том, что есть люди, которые используют молоток не для забивания гвоздей, а для нанесения тяжких телесных... тут все то же самое. Тем более, что я у себя на канале уже как-то делал обзор на нейросеть, которую до сих пор активно используют хакеры и разного рода скрипткидди

Вывод тут крайне простой. Мы теперь уже и правда живем в эпохе, где ИИ-агенты становятся неотъемлемой частью практически всего (и то ли еще будет). И если злоумышленники научатся работать с такими инструментами быстрее, чем безопасники и блюстители порядка — у нас проблемы. Как всегда стараемся верить в лучшее 🥂

#информационная_безопасность

Промо-изображение HexStrike AI: чёрный фон, красный логотип медведя и большая надпись «hexstrike AI MCPs v.7.0 COMING SOON!», стилизованный тизер продукта.
Промо-скриншот HexStrike AI с логотипом и объявлением версии; иллюстрация обсуждаемого инструмента.

Дискуссия

Сергей Юдин
Такие проверки нужно на уровне разработчиков делать, а не безопасников.
M
Сергей Юдин
Такие проверки нужно на уровне разработчиков делать, а не безопасников.
Ну погодите, пентестом занимаются именно безопасники, а не разработчики. А это инструмент как раз для пентеста. Или вы что-то другое имели ввиду?
Сергей Юдин
MaxiEnergy
Ну погодите, пентестом занимаются именно безопасники, а не разработчики. А это инструмент как раз для пентеста. Или вы что-то другое имели ввиду?
Что то не так в разработке. Я не понимаю зачем использовать дырявый код... И такими темпами, всё сведётся к вайбкодингу. ИИ будет и код создавать, и тесты гонять.
M
Сергей Юдин
Что то не так в разработке. Я не понимаю зачем использовать дырявый код... И такими темпами, всё сведётся к вайбкодингу. ИИ будет и код создавать, и тесты гонять.
Безопасность кода - не задача разработчиков. Разработчик должен писать эффективный и грамотный код. Баги и прочее - его область работы. Ошибок быть не должно. Но безопасность - не его задача. Слишком много знаний и навыков должно быть в одном человеке. Такими темпами чего бы разработчику самому и тесты не писать, и продвижением продукта не заниматься? Безопасность приложений - очень объемное и сложное направление. Поэтому существуют AppSec-инженеры, которые как раз отвечают за безопасность приложений, но разработчиками не являются Что касается вайбкодинга - так да, к этому мы придем в любом случае. Программирование само по себе меняется. Раньше люди использовали перфокарты. Сейчас этот навык считается не нужным. Раньше люди писали код на языках типа ассемблера. Сейчас большая часть проектов пишется на питоне или го. А это высокоуровневые языки. Да, сейчас начинается новая веха программирования. Через 20 лет программистом будет тот, кто может правильно задать промт нейронке и понять то, что она нагенерировала. И это нормально. Повторюсь, раньше писали код тоже по-другому. Профессия программиста перерождается и только лишь
Сергей Юдин
Этот ИИ иследует код или планомерно проверяет ранее найденные уязвимости?
M
Сергей Юдин
Этот ИИ иследует код или планомерно проверяет ранее найденные уязвимости?
HexStrike AI - это MCP-сервер, который связывает внешние LLM (GPT/Claude/Copilot) с набором из 150+ утилит безопасности и сам оркестрирует процесс поиска уязвимостей, эксплуатации и пост-эксплуатации. Он не понимает код как классический SAST по умолчанию. Вместо этого он запускает проверенные сканеры/фреймворки (nmap, httpx, nuclei, sqlmap и тд), парсит их вывод и на лету принимает решения, что делать дальше Это более умное решение, которое по сути использует готовые инструменты, которые реально используются в пентесте
👍1
Присоединиться к обсуждению →

Читайте так же