
新发布的开源安全框架T3MP3ST正在将Claude Code、OpenAI的Codex和Hermes等通用AI编程Agent转变为自主红队操作平台且无需新API密钥、云基础设施或额外计费。该框架由研究员elder-plinius开发其本质是一个多Agent协调层而非自有模型通过侦察-利用-报告的攻击链协调多个Agent实例。用户可通过基于Web的作战室界面或CLI将框架指向授权目标本地运行的AI编程Agent随即成为任务执行中枢。关键技术特性该框架采用无密钥作战设计利用现有Agent会话而无需独立提供商密钥并通过出口范围控制确保联网工具自动拒绝触碰范围外的公共主机。在XBOW的104项挑战XBEN测试套件中T3MP3ST取得90.1%的pass1分数该黑盒基准测试自报成绩约85%每个解决方案都经过提交标志验证支持通过verify-claims命令按需复现。在40项任务的学术基准Cybench上框架的单Agent ReAct循环实现了23项无提示破解。更值得注意的是在2026年披露的10个真实CVE涉及7种编程语言测试集中单个Agent准确定位了其中8个漏洞的具体文件、行号和CWE分类工具包整体则识别出全部10个漏洞。开发者强调虽然样本量较小但这些漏洞均出现在模型训练截止日期之后排除了记忆复现的可能性。架构与能力矩阵框架设计将8个操作环节侦察员、扫描器、利用者、渗透者、外传者、幽灵、协调员和分析师映射到MITRE ATTCK战术和网络杀伤链但目前仅侦察引擎和单Agent利用循环完成基准测试且稳定运行可从GitHub克隆。各领域支持状态如下行业反响与法律声明Reddit蓝队社区等平台的安全研究人员认为该版本在自主红队领域具有重要意义符合行业向AI驱动安全工具发展的趋势。此前Anthropic的Mythos模型在同类漏洞利用基准测试中已将误报率降低42%XBOW评估显示其显著提升了漏洞导向生成和源代码安全分析能力。开发者特别声明T3MP3ST严格限于授权测试、研究和教育用途采用AGPL-3.0许可发布且不提供担保。未经书面明确授权对系统进行测试在多数司法管辖区仍属违法操作者须全权负责确保行为符合法律和交战规则。