开源AI渗透测试工具Z3r0部署与使用
2026-07-03
因数据安全等6项违规,中国银行宁波市分行被罚436万元!
2026-07-03
美创参编|GA/T 2390-2026《信息安全技术 数据脱敏产品安全技术要求》正式实施
2026-07-01
工信部等八部门联合印发《关于推动工业互联网高质量发展的实施意见》
2026-07-01
《网络数据安全风险评估办法》重点内容解读
2026-06-30
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务Z3r0 是面向红队协作的控制平面型工作台。它将 React 操作台、FastAPI 管理平面、会话级多智能体运行时、项目级证据记录、分布式 Docker 沙箱资源和受控出口层组合在一起。Z3r0 的设计目标是让智能体辅助的安全工作具备清晰边界和可复核性。对话不是唯一事实来源;项目范围、资产、漏洞发现、关系图、攻击路径、沙箱资源、出口策略和可回放时间线都作为显式应用数据管理。
Z3r0 项目开源地址为:
https://github.com/yv1ing/Z3r0

Z3r0 将系统划分为四个架构平面:
控制平面:用户、系统配置、智能体、会话、WorkProject、托管主机、沙箱镜像、沙箱容器和出口代理。
运行时平面:多智能体会话执行、实时事件流、长周期任务连续性、历史投影和时间线回放。
证据平面:项目范围、资产、漏洞发现、关系图、攻击路径、任务进度和智能体摘要。
执行平面:Docker 主机、沙箱容器、Shell/文件/noVNC 访问、命令执行、沙箱技能和出站网络策略。
Z3r0 架构如下图所示

通过 GitHub 获取最新代码:
git clone https://github.com/yv1ing/Z3r0.git && cd Z3r0
构建对应的沙盒镜像
cd sandbox && bash build.sh

拷贝并编辑配置文件
cp .z3r0/config.json.example .z3r0/config.json
最后启动环境
docker compose -f docker-compose.prod.yml up -d --build
浏览器访问 http://ip:8000/,输入配置的账号密码登录即可。
在 Chat 窗口中,输入目标 URL 即可开始自动化渗透测试
会实时输出当前测试阶段、状态和调用的 tools。
04
Z3r0 作为一款 AI 驱动的安全测试框架,其核心优势在于构建了由多专家智能体组成的“虚拟红队”,能够模拟人类安全团队的协作模式,有效应对逻辑漏洞等复杂场景;同时,它采用证据驱动和可复核的数据管理机制,将所有操作记录为可回放的时间线,便于审计复盘,并通过 Docker 沙箱集成常用安全工具,提供受控的执行环境和灵活的代理策略,长周期任务的后台运行能力也避免了阻塞等待,且部署可通过 Docker Compose 完成,门槛较低。Z3r0 每个专家智能体均需独立配置第三方大模型 API,使用成本和稳定性高度依赖外部服务;此外,作为较新的开源项目,生态尚不成熟,生产环境下的稳定性和功能覆盖度仍有待更多实践验证。