Unclecheng-li / VulnClaw
AI 에이전트 + MCP 툴체인 + 침투 스킬 오케스트레이션을 기반으로, 대형 언어 모델과 연계하여, 자연어 입력 → 자동으로 '정보 수집 → 취약점 발견 → 취약점 이용 → 보고서 생성' 전체 과정을 수행합니다.
이 프로젝트에 대해
Unclecheng-li 님의 VulnClaw 프로젝트는 GitHub에서 1.5K개의 별을 받으며 많은 개발자들의 주목을 받고 있습니다. 특히 Python 환경에서 유용하게 활용될 수 있으며, 최근 오픈소스 커뮤니티에서 활발한 기여와 토론이 이루어지고 있는 트렌딩 레포지토리입니다.
Language Breakdown
🇰🇷 한국어 번역 README
AI 실시간 번역VulnClaw 🦞
AI 기반 침투 테스트 CLI 도구 — 사람 말로 말하고, 취약점을 공격합니다.
🌐 영문 버전: README_EN.md
본 프로젝트는 독립 실행 가능한 AI 침투 테스트 에이전트입니다.
프로젝트 공식 사이트:
LLM 에이전트 + MCP 툴체인 + 침투 스킬 편집, OpenAI / Anthropic / MiniMax / DeepSeek 등 호환 모델과 함께, 자연어 입력 → 「정보 수집 → 취약점 발견 → 취약점 활용 → 보고서 생성」 전체 프로세스를 자동 완성합니다.
빠른 시작 · 아키텍처 설계 · 스킬 체계
기능
자연어 입력, AI가 침투 테스트 전체 프로세스를 자동 실행:
권한 있는 침투 테스트, CTF 대회, 보안 교육, 레드팀 훈련 등 시나리오에 적합합니다.
특징
- 목표 기반 해결 엔진(기본값) — 고정 라운드 워크플로우 제거, 「목표 달성 / 탐색 한계 도달 / 보안 예산」 종료 조건으로 자동 수렴
- 블랙보드 그래프 상태 공간 탐색 — 침투를 origin에서 goal까지 탐색 모델링: Fact(확인된 사실) + Intent(탐색 방향), 구조적으로 '제자리걸음' 방지
- 증거 수준 환각 방지 게이트 — 주장된 flag/결론은 실제 툴 출력에서 문자 단위로 나타나야 신뢰, 임의 flag 생성 방지
- 자연어 기반 실행 — 인간 말로 침투 의도 기술, 단계와 툴 자동 인식
- 13개 LLM 제공자 — OpenAI / Anthropic / MiniMax / DeepSeek / 지보 / Moonshot / 천문 / SiliconFlow / 두부포 / 백천 / 계단별 별 / 상탕 / 영일만물, 원클릭 전환
- MCP 툴체인 — 4개 MCP 서비스:
fetch/memory로컬 즉시 사용,chrome-devtools/burp외부 MCP 서비스 연동 브라우저 자동화·HTTP 캡쳐 재생 - 원시 트래픽 증거 저장 — VulnClaw 자체 캡처 저장: 실행 내부 범위 필터 후 추가형 JSONL 인덱스 + 각 요청 원본
evidence/traffic/저장. 내장traffic_list/traffic_view/traffic_repeat/traffic_sitemap툴로 직접 읽기·쓰기 (traffic_repeat덮어쓰기 재생 지원), 검증된 취약점 보고서에 원본 요청/응답 내장. mitmproxy 프록시와 Playwright 브라우저 캡처는 선택 의존(pip install vulnclaw[traffic]), 가용성 감지 후 활성. Burp/chrome-devtools 선택적 인터랙티브 레이어 단일 저장소 통합 - AI 에이전트 핵심 — OpenAI 호환 프로토콜 + Tool Calling + 독자적 침투 루프
- 구조화 추론 + 적응형 반성 — 알려진 사실/제약/공격 체인 구조화; 실패 자동 분류 및 L0-L4 점진적 payload 우회 전략 적용
- 취약점 탐지 플러그인 체계 — 낮은 결합 플러그인 런타임 + 내장 읽기 전용 웹 플러그인, 결과 자동 보고 체인 연결(
vulnclaw plugins) - **21개 침투
🌐 본 텍스트는 빠른 이해를 돕기 위한 요약 번역본입니다. 정확한 기술 정보 및 전체 코드는 GitHub 원문에서 확인하실 수 있습니다.
이 정보는 AI가 자동으로 분석한 결과입니다. 정확한 내용은 원문을 확인하세요.
Unclecheng-li/VulnClaw GitHub 원문 바로가기 →