网络安全平台HackerOne近日发布了Agentic Pentest as a Service（代理式渗透测试即服务），这是一种将人工智能代理与人类安全专家相结合的持续渗透测试解决方案。该服务旨在填补传统渗透测试与现代快速开发环境之间的验证鸿沟。

HackerOne将这项AI代理式渗透测试服务定位在传统人工测试与完全自动化工具之间。传统渗透测试虽然能提供详尽的报告和审查保障，但难以适应现代环境的快速变化；而纯自动化方案往往产生大量未经核实的警报。新服务通过AI代理处理侦察、设置、利用和验证等流程环节，同时由人类测试人员提供专业判断和责任确认，形成混合测试模式。

该AI代理式渗透测试服务采用专有的漏洞利用情报，这些数据源于多年企业系统测试经验及经过验证的渗透测试社区。AI与专家协同工作的方式使测试重点聚焦于实际可被利用的安全问题，而非理论漏洞。HackerOne首席产品官Nidhi Aggarwal表示：“安全团队不是在寻找更多的发现，他们是在寻求降低风险敞口。Agentic PTaaS利用代理式执行来扩展那些拖慢团队进度的渗透测试环节，使得原本需要数天人工努力才能完成的测试规模，现在可以在数小时内完成。这使得我们的专家能够专注于验证可利用性，并帮助团队降低现实世界中的风险。”

该AI代理式渗透测试服务已在多个行业的复杂生产环境中进行评估和运行，应对了范围界定模糊、资产频繁变更及测试限制等实际操作挑战。服务还提供可选的源代码安全集成功能，实现超越表面扫描的代码感知测试。AI代理能够识别代码中的脆弱模式并生成测试假设，经专家验证后产生与应用程序架构相符的发现。

通过HackerOne平台提供的这项AI代理式渗透测试服务，在持续威胁暴露管理（CTEM）工作流中发挥核心作用。它持续验证安全漏洞的可利用性，并将结果信号整合到优先级排序和修复流程中，推动安全计划从定期评估转向持续运行模式，专注于随系统变化而产生的关键风险。