ИИ-инструмент для защиты? Через 12 часов он уже штурмует Citrix — автоматически, массово, без разбора
NewsMakerВыкладываешь фреймворк на GitHub — просыпаешься, а он уже в цепочке атак.
На подпольных форумах киберпреступники заявили, что начали использовать HexStrike AI — новый open source инструмент для тестирования на проникновение — против уязвимостей Citrix NetScaler буквально через несколько часов после их раскрытия. Об этом сообщил евангелист компании Check Point Амит Вейгман, отметив, что окно между публикацией уязвимости и её массовой эксплуатацией стремительно сокращается.
Главная проблема — критическая уязвимость CVE-2025-7775, позволяющая выполнять удалённый код без аутентификации. Она была использована как zero-day : атакующие внедряли вебшеллы и бэкдоры в устройства ещё до выхода патча от Citrix. Вейгман предупреждает, что благодаря HexStrike AI объёмы атак в ближайшие дни будут только расти.
HexStrike AI разработал исследователь безопасности Мухаммад Осама, и несколько недель назад выложил проект на GitHub. Это ИИ-фреймворк для пентестов , который может объединяться более чем со 150 инструментами, включая средства для сетевого сканирования, анализа веб-приложений, реверс-инжиниринга и других задач. Дополнительно он подключается к десяткам агентов на базе искусственного интеллекта, которые ищут уязвимости, автоматизируют создание эксплойтов и формируют новые цепочки атак.
В репозитории GitHub прямо указано, что HexStrike AI нельзя применять для несанкционированного тестирования, кражи данных или любых незаконных действий. Тем не менее, почти сразу после релиза на даркнет-ресурсах появились обсуждения использования этого инструмента для эксплуатации дыр в Citrix NetScaler . По данным Check Point, всего через 12 часов после раскрытия CVE-2025-7775 злоумышленники утверждали, что с его помощью генерируют эксплойты и ищут уязвимые инстансы NetScaler.
Ранее подобные атаки считались уделом опытных специалистов: требовалось понимание работы памяти, способов обхода аутентификации и особенностей архитектуры NetScaler, что обычно занимало недели подготовки. Теперь же, отмечает архитектор безопасности Check Point Аарон Роуз, такие атаки можно автоматизировать при помощи ИИ за считанные минуты. Это резко снижает барьер входа и позволяет проводить масштабные кампании с темпами, к которым защитные системы пока не готовы.
Хотя у Check Point пока нет прямых доказательств того, что HexStrike AI уже применялся для успешных атак на Citrix, специалисты видят тревожные сигналы в сообществах злоумышленников. По мнению Роуза, подтверждённые факты эксплуатации появятся в ближайшее время.
Сам автор инструмента говорит, что публиковал HexStrike AI с прицелом на защитников. По его словам, цель проекта — ускорить пентесты и оценку устойчивости инфраструктуры за счёт автоматизации процессов и использования нейросетей. Осама подчёркивает, что в фреймворке нет готовых zero-day эксплойтов: он лишь выстраивает цепочку действий и позволяет интегрировать логику сторонних пользователей. Более того, исследователь сознательно не выкладывает RAG-версию HexStrike, которая могла бы динамически подключать данные о CVE и перестраивать сценарии тестирования в реальном времени.
RAG (Retrieval-Augmented Generation) — это подход, при котором языковые модели объединяются с системами поиска информации, что позволяет им генерировать более точные и контекстные результаты. Осама утверждает, что задача HexStrike — дать специалистам по защите такие же адаптивные возможности, которыми уже активно пользуются атакующие. По его словам, будущее кибербезопасности — это оркестрация на базе ИИ и автономные агенты, которые будут одинаково формировать и наступательные, и оборонительные стратегии.
На подпольных форумах киберпреступники заявили, что начали использовать HexStrike AI — новый open source инструмент для тестирования на проникновение — против уязвимостей Citrix NetScaler буквально через несколько часов после их раскрытия. Об этом сообщил евангелист компании Check Point Амит Вейгман, отметив, что окно между публикацией уязвимости и её массовой эксплуатацией стремительно сокращается.
Главная проблема — критическая уязвимость CVE-2025-7775, позволяющая выполнять удалённый код без аутентификации. Она была использована как zero-day : атакующие внедряли вебшеллы и бэкдоры в устройства ещё до выхода патча от Citrix. Вейгман предупреждает, что благодаря HexStrike AI объёмы атак в ближайшие дни будут только расти.
HexStrike AI разработал исследователь безопасности Мухаммад Осама, и несколько недель назад выложил проект на GitHub. Это ИИ-фреймворк для пентестов , который может объединяться более чем со 150 инструментами, включая средства для сетевого сканирования, анализа веб-приложений, реверс-инжиниринга и других задач. Дополнительно он подключается к десяткам агентов на базе искусственного интеллекта, которые ищут уязвимости, автоматизируют создание эксплойтов и формируют новые цепочки атак.
В репозитории GitHub прямо указано, что HexStrike AI нельзя применять для несанкционированного тестирования, кражи данных или любых незаконных действий. Тем не менее, почти сразу после релиза на даркнет-ресурсах появились обсуждения использования этого инструмента для эксплуатации дыр в Citrix NetScaler . По данным Check Point, всего через 12 часов после раскрытия CVE-2025-7775 злоумышленники утверждали, что с его помощью генерируют эксплойты и ищут уязвимые инстансы NetScaler.
Ранее подобные атаки считались уделом опытных специалистов: требовалось понимание работы памяти, способов обхода аутентификации и особенностей архитектуры NetScaler, что обычно занимало недели подготовки. Теперь же, отмечает архитектор безопасности Check Point Аарон Роуз, такие атаки можно автоматизировать при помощи ИИ за считанные минуты. Это резко снижает барьер входа и позволяет проводить масштабные кампании с темпами, к которым защитные системы пока не готовы.
Хотя у Check Point пока нет прямых доказательств того, что HexStrike AI уже применялся для успешных атак на Citrix, специалисты видят тревожные сигналы в сообществах злоумышленников. По мнению Роуза, подтверждённые факты эксплуатации появятся в ближайшее время.
Сам автор инструмента говорит, что публиковал HexStrike AI с прицелом на защитников. По его словам, цель проекта — ускорить пентесты и оценку устойчивости инфраструктуры за счёт автоматизации процессов и использования нейросетей. Осама подчёркивает, что в фреймворке нет готовых zero-day эксплойтов: он лишь выстраивает цепочку действий и позволяет интегрировать логику сторонних пользователей. Более того, исследователь сознательно не выкладывает RAG-версию HexStrike, которая могла бы динамически подключать данные о CVE и перестраивать сценарии тестирования в реальном времени.
RAG (Retrieval-Augmented Generation) — это подход, при котором языковые модели объединяются с системами поиска информации, что позволяет им генерировать более точные и контекстные результаты. Осама утверждает, что задача HexStrike — дать специалистам по защите такие же адаптивные возможности, которыми уже активно пользуются атакующие. По его словам, будущее кибербезопасности — это оркестрация на базе ИИ и автономные агенты, которые будут одинаково формировать и наступательные, и оборонительные стратегии.