Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
RapidPen: AIエージェントによるペネトレーションテスト 初期侵入全自動化の研究
Search
Sho Nakatani
March 15, 2025
Research
0
1.5k
RapidPen: AIエージェントによるペネトレーションテスト 初期侵入全自動化の研究
Webサイト:
https://rapidpen.secdevlab.com/
RapidPenの2025/03時点の研究開発紹介
Sho Nakatani
March 15, 2025
Tweet
Share
More Decks by Sho Nakatani
See All by Sho Nakatani
体得しよう!RSA暗号の原理と解読
laysakura
3
740
ソフトウェア研究における脅威モデリング
laysakura
0
2.6k
Other Decks in Research
See All in Research
A multimodal data fusion model for accurate and interpretable urban land use mapping with uncertainty analysis
satai
3
220
ストレス計測方法の確立に向けたマルチモーダルデータの活用
yurikomium
0
590
Self-supervised audiovisual representation learning for remote sensing data
satai
3
210
データサイエンティストの採用に関するアンケート
datascientistsociety
PRO
0
990
GeoCLIP: Clip-Inspired Alignment between Locations and Images for Effective Worldwide Geo-localization
satai
3
240
ウッドスタックチャン:木材を用いた小型エージェントロボットの開発と印象評価 / ec75-sato
yumulab
1
410
VAGeo: View-specific Attention for Cross-View Object Geo-Localization
satai
3
380
最適化と機械学習による問題解決
mickey_kubo
0
140
言語モデルによるAI創薬の進展 / Advancements in AI-Driven Drug Discovery Using Language Models
tsurubee
2
370
Pix2Poly: A Sequence Prediction Method for End-to-end Polygonal Building Footprint Extraction from Remote Sensing Imagery
satai
3
480
生成的推薦の人気バイアスの分析:暗記の観点から / JSAI2025
upura
0
180
電力システム最適化入門
mickey_kubo
1
640
Featured
See All Featured
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
20
1.3k
Being A Developer After 40
akosma
90
590k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Why You Should Never Use an ORM
jnunemaker
PRO
57
9.4k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
8
670
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.5k
Automating Front-end Workflow
addyosmani
1370
200k
Testing 201, or: Great Expectations
jmmastey
42
7.5k
Docker and Python
trallard
44
3.4k
Optimising Largest Contentful Paint
csswizardry
37
3.3k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.3k
Transcript
RapidPen: AIエージェントによるペネトレーションテスト 初期侵入全自動化の研究 Security & Development Lab 中谷 翔 (@laysakura)
背景 ペネトレーションテスト
貢献 やったこと・新規性 • ペネトレーションテスト自動化ツールRapidPenを開発 ◦ AIエージェントによる創造性 ◦ オフェンシブセキュリティ専門知の活用による職人芸 • 新規性
◦ 高速な完全自動初期侵入 (IP-to-Shell) ▪ 人間の介在を排する強力なタスク計画と実行
ユースケース 先行研究と本研究の比較 ターゲットユーザー プロのペンテスター (支援) ペンテスト知識ない開発者 (委託) プロのペンテスター (支援・委託)
手法 AIエージェントで全自動化
手法 AIエージェントで全自動化
先行研究 との比較・差分 (1/2)
先行研究 との比較・差分 (2/2)
評価 HackTheBox Legacyマシンへの初期侵入 (内訳気にせずOK) 6回成功/10試行 実行時間 200~400秒程度で侵入成功 コスト ($) 0.6$
弱で侵入成功
今後の課題
発表 したもの 何・リンク QRコード 本スライド 論文 (arXivプレプリント) 何・リンク QRコード Webサイト
(RapidPenの紹介・ニュース) OSS: wish (RapidPenのAct部分を 切り出して人間が使う ようにしたLLMシェル)
参考文献 [1] Deng, Gelei, et al. "PentestGPT: Evaluating and harnessing
large language models for automated penetration testing." 33rd USENIX Security Symposium (USENIX Security 24). 2024. [2] 高江洲 勲, 一ノ瀬 太樹, "BLADE:自律AIエージェントを活用したペ ネトレーションテスト自動化の試み," AVTOKYO 2024. [3] Yao, Shunyu, et al. "ReAct: Synergizing reasoning and acting in language models." arXiv preprint arXiv:2210.03629 (2022).
アンケートご回答お願いします!
laysakura
.png){kind=avatar}
satai
yurikomium
datascientistsociety
yumulab
mickey_kubo
tsurubee
upura
honnibal
akosma
samlambert
jnunemaker
tammyeverts
reverentgeek
addyosmani
jmmastey
trallard
csswizardry
scottboms
jcasabona
![参考文献 [1] Deng, Gelei, et al. "PentestGPT: Evaluating and harnessing](https://files.speakerdeck.com/presentations/deb6a57d19bd40518b6148c960e78135/slide_11.jpg){kind=link}
