2026 年 5 月 9 日,第二届 TCH 智能渗透挑战赛决赛答辩在北京举行。600 多支队伍、1000 多人参赛,第一天就有队伍解出 47 道题。五个月前,第一届还在问”AI 能不能做渗透”;到了这一届,答案已经很直接:能,但不稳、不便宜、不好管。
所以这届真正有意思的,不是某个队伍把模型提示词写得多漂亮,而是大家怎么给 Agent 搭架子:记忆放哪,状态怎么传,工具怎么收口,失败怎么复盘,越权怎么拦,最后怎么证明它真的做完了。
这也是为什么现场的关键词不是”更强模型”,而是记忆、状态、工具、权限、回放和停止条件。代码 Agent 还能躲在 PR、CI、review 这些既有流程里;渗透 Agent 更麻烦,工具天然危险,环境天然不完整,成功路径还经常不是题面给你的那一条。
下面按七个断面记录这届比赛暴露出的分歧。
断面一:信任光谱
这届队伍最大的分歧,不是用不用多 Agent,而是到底信不信 LLM 自己能把渗透任务跑下去。
电信大可实验室:低信任。 500+ 预构建知识库、12 类漏洞专属 Skills、SQLi/XSS/XXE 子智能体各有独立工作空间。它的判断很朴素:模型知道安全名词,不等于会在具体环境里稳定干活;人类专家能写进知识库的东西,就先写进去给它剪枝。
绿盟 AI 小分队:中等信任。 它信模型能做决策,但不信模型能稳定收尾。所以有 Observer 旁路审查,有 Memory/Idea 双层状态板,有 Ralph-Loop 把终止判断从模型手里拿回来。现场那句”智能决策要有工程边界”,比很多抽象口号都准确。
Cairn/Bytex:高信任。 零渗透 MCP、零安全 RAG、零流程定义、零预定义 Agent 角色。它给模型的是一块黑板、三种任务指令(Bootstrap/Reason/Explore)和一组通用工具。它赌的是:渗透能力不一定要从漏洞模块里长出来,也可以从工具、状态和循环里长出来。
ChainReactors/For Future:更高信任。 Pattern 用自然语言写,状态管理交给文件系统,不急着把安全知识做成庞大数据库。它的核心不是”没来得及写知识库”,而是主动给模型留结构化空位,让模型把能力填进去。
我的理解是,这四条路线其实是在押不同的模型边界:大可押专家知识,绿盟押工程约束,Cairn 押通用求解,For Future 押下一代模型继续变强。谁对谁错不会由辩论决定,会由下一批模型和下一轮 Benchmark 决定。
断面二:记忆不是聊天记录
四川大学与清华大学的联合实证研究 Hackers or Hallucinators? 对 13 个开源 AutoPT 框架和 2 个基线做了统一评测。规模不小:100 亿+ token、2500 美元、1500+ 份人工审查日志。结论很刺眼:10 个框架的记忆系统基本没发挥作用。常见问题包括 memory 工具没注册、只保留最近 10 条对话、笔记工具几乎不被调用,甚至 6400 token 就开始压缩。
这也解释了为什么决赛队伍都在卷记忆,而不是只卷 planning。
- 绿盟:Memory 存事实,Idea 存策略;Raw -> RTK Rewrite -> Compaction 三层压缩;原始 session 文件落地,困惑时允许 grep 回查。
- 天翼 Sniper:发现关键数据就写本地 Markdown,重启时先读记忆,从失败点继续。
- Cairn:Fact/Intent/Hint 三元素黑板,用因果链组织状态,而不是按时间堆日志。
- DARKNAVY:把总结和尝试记录打包交给下一个专家 Agent,不把原始上下文整包塞过去。
这里的重点不是”记得更多”,而是”记得可用”。长任务里,记忆如果不能被检索、不能被验证、不能被回放,它只是另一种噪音。上下文工程解决不了所有长程可靠性问题,状态、观测、失败归因和权限边界必须一起上。
绿盟那个小细节很关键:compact 后提醒 Agent,原始 session 在什么路径,遇到困惑自己 grep。这个设计比”压缩得更聪明”更实用。压缩一定会丢信息,给它回查权,才算承认工程现实。
断面三:黑板架构又回来了
黑板架构不是新东西,1970 年代 CMU 的 Hearsay-II 语音识别系统就在用。Stigmergy 也不是 AI 圈发明的词,最早来自生物学里对间接协作的观察。
Cairn 把这两个老概念拼到了渗透 Agent 里:Worker 之间不直接聊天,只通过黑板上的 Fact/Intent 间接协调。每个 Worker 都像是在读现场痕迹,然后留下新的痕迹。整体搜索策略不是某个 Manager 规划出来的,而是在循环里长出来的。
它最有冲击力的观点是:Agent 角色分工可能只是人类组织结构的投影。 我们习惯把渗透团队拆成信息收集、Web 漏洞、后渗透、报告整理,于是也顺手把 Agent 拆成这些角色。但 LLM 的上下文窗口和工具调用方式不一定需要这种组织结构。拆得太细,反而会带来信息孤岛和翻译损耗。
四川大学那篇 AutoPT SoK 在数据上也给了一个提醒:在它的评测里,单 Agent 和多 Agent 表现持平,部分场景甚至更好。这个结论不能无限外推,但足够让人冷静一下。多 Agent 不是先进性的证明;多出来的每一层协调,都要交税。
断面四:Agent 会绕路,也会犯傻
天翼 Sniper 分享的域渗透案例,是整场最像”真 Agent”的瞬间。
目标是拿下域控。正常路径是从第一台机器逐台打到第六台。Sniper 的 Agent 拿下第二台后,跳过中间环节直接盯上域控。但域控的 445 和 135 端口被封,常规 SMB 路径不通。它后面的动作很有意思:
- 分析失败原因
- 向专家 Agent 求助,得到 139 端口可绕过的提示
- 运行时 Monkey Patch impacket,强制 SMB 走 139
最后拿下域控,提前通关。这不是预设脚本跑通,也不是照着题解复现,而是在受阻后改了工具本身。
但同一个 Sniper,在第三赛区被一个密码模式卡了 4 天。正确密码是 vivo@2022 / vivo@2023,Agent 试过 vivo@2024,却没把后缀理解成年份变量。它看见了一个值,没有抽出一个模式。
这组对比很有价值:Agent 已经能在某些局部做出漂亮的工程绕路,但在模式抽象上仍然会犯很低级的错。渗透测试里最难塞给模型的,不是”SQL 注入是什么”,而是人类安全工程师那种半经验、半直觉的模式感。
断面五:Living off the Agent
前面几段讲的是怎么用 AI 做渗透。第五个断面反过来:Agent 自己已经成了攻击面。
ChainReactors 的”Living off the Agent”研究抓住了一个很现实的入口:很多用户会配置第三方中转站 base URL。这个中转站在请求和响应路径上,能看流量,也能改流量。它不需要攻破模型,只要站在模型和用户之间。
三个攻击原语很直接:
- MITM 窃听:请求、响应、工具输出都可能被中转站看见。
- Response 劫持:往响应里注入 function call JSON,让 Agent 执行任意 bash 命令。
- Request 劫持:把用户意图改掉,比如把”帮我写代码”变成”帮我收集凭证”。
他们实测了约 40 个免费中转站,其中 9 个有注入恶意代码行为,17 个会提取中间密钥。
这件事放到 2026 年 5 月看,不是孤立问题。MCP tool poisoning、恶意工具描述、上下文投毒、供应链里的 agent skill,都在把同一个边界打穿:模型读到的上下文,很多时候不是用户写的,也不是开发者审过的。OWASP 已经把 MCP Tool Poisoning 单独列出来,4 月和 5 月围绕 MCP 的安全研究也明显升温。
所以 Agent 安全不能只盯 prompt injection。更准确的说法是:凡是能进入 Agent 观察面、工具面和记忆面的东西,都可能变成供应链。
断面六:RAG 没死,但粗糙 RAG 很危险
原来我会把这一节写成”RAG 在渗透测试中效果存疑”。现在这个说法要收窄,否则就落后了。
四川大学的消融实验确实显示:删除外部知识组件后,大部分 AutoPT 框架分数没下降,部分还上升。Cairn 和 For Future 也都选择零安全 RAG、零渗透知识库。他们的理由是,模型训练阶段已经学过很多通用攻击知识,额外检索回来的材料如果和目标环境不匹配,只会误导行动。
但 3 月的 Red-MIRROR 和 AWE 又给了另一边证据:在特定 Web 攻击任务上,带记忆、反思、验证和漏洞专用流程的系统可以显著提高成功率。AWE 的重点甚至不是大模型更强,而是把 payload 生成、浏览器验证、持久记忆和漏洞专用 pipeline 接起来。
所以问题不是”要不要 RAG”,而是”知识以什么形态进入循环”。
传统 RAG 的范式是:检索 -> 拼接到上下文 -> 生成。渗透测试里,这太粗了。Agent 需要的经常不是一段百科,而是:
- 一个可泛化的密码模式
- 一个能被验证的漏洞假设
- 一组 payload 变异规则
- 一个失败后的排除路径
- 一个能回放的证据链
知识库如果只存字面值,遇到 weaver@2024 和 vivo@2023 这种问题就会露馅。知识工程真正要做的,是把事实变成策略,把经验变成可执行、可验证、可回滚的行动部件。
断面七:下一届会更像工程赛
圆桌论坛里有几个信息值得单独记。
腾讯李欣 披露了两个安全事件:某主机信息收集 Agent 跑完后删除了文件;某参赛队伍的 Agent 在比赛期间全球爆破 IP 地址,险些被取消资格。这两个案例说明,Agent 权限扩大后,”它能做”和”它被允许做”必须分开。
出题方朱俊义 表示第三届 TCH 计划引入统一 Benchmark:确定工具集、数据集和基线智能体,排名高于基线的队伍才算做出有效优化。这一步很重要。没有统一环境,大家很难分清到底是模型强、题熟、工具好,还是系统设计真有贡献。
张旭迪 呼吁加入防御赛道。攻击侧 Agent 的泛化能力上来后,防守侧不能只按传统 IOC 和规则库等它撞上来,必须理解 AI 攻击会如何探索、记忆、绕路和复盘。
黑哥 的总结很准确:从第一届到第二届,关注焦点已经从流程编排转向记忆管理。所有 PPT 中出现频率最高的关键词是”记忆”。
我会再补一句:第三届如果真的引入统一 Benchmark,焦点大概率会从”记忆”继续往”可审计运行时”走。记忆只是第一层,后面还有权限、观测、证据、回放、失败归因和停止条件。
我现在的判断
1. 分歧已经从模型能力转向系统设计。 TCH 这届真正值得写的,是不同队伍在 AutoPT 里怎么取舍:有人把知识写死,有人把状态做厚,有人把工具收窄,有人把角色拆掉。
2. Manager -> Worker 式多 Agent 不再天然正确。 这届决赛里,黑板、Stigmergy、Coordinator、Observer 都比传统”经理派活”更显眼。核心不是 Agent 数量,而是谁拥有状态,谁能改状态,谁负责验证,谁决定停止。
3. 记忆会从笔记功能升级成状态系统。 只会总结对话的 memory 已经过时。下一步要看的,是原始日志能否回查,事实和假设能否分层,失败能否归因,证据能否复用,压缩后能否恢复关键上下文。
4. Agent 安全会先从供应链爆。 第三方 base URL、MCP server、工具描述、skill 文件、浏览器上下文、CI 配置,都可能成为 Agent 的输入面。传统安全里已经成熟的权限管理、供应链治理、审计和最小权限,在 Agent 生态里还没跟上。
5. RAG 会退到更具体的位置。 泛泛检索知识再塞上下文,不适合渗透这种强环境依赖任务。更有价值的是模式库、payload 生成器、可验证假设、失败路径和证据索引。换句话说,知识要变成行动部件,而不是背景材料。
6. 下一轮差距会体现在 eval 和 trace 上。 不能只看最终有没有拿 flag,还要看每一步为什么做、证据在哪、失败怎么恢复、权限有没有越界。没有 trace,就很难说自己真的改进了系统。
我没有教它们渗透测试。我只是给了它们一块黑板、一个目标、和一堆工具。剩下的,都来自涌现。
—— Cairn 作者,决赛答辩
这句话好就好在它没有把 Agent 神化。黑板、目标、工具,都是人搭的。所谓涌现,不是模型凭空开悟,而是环境设计到位以后,模型终于有地方把能力放出来。
第二届 TCH 留下的不是一个万能答案,而是一组很现实的问题:Agent 到底该被信任到什么程度?知识该写进库里还是写进流程里?多 Agent 是协作还是噪音?记忆是笔记还是状态机?攻击面从目标系统扩大到 Agent 自己后,谁来给它上刹车?
这些问题比”AI 能不能做渗透”更难,也更接近接下来一年的主战场。