YesWeHack推出用于AI安全测试的Agentic Pentest

这款全新的按需解决方案能够快速测试攻击面，并将测试结果集中整合至YesWeHack的进攻性安全平台中

进攻性安全与风险管理平台YesWeHack宣布推出Agentic Pentest。这是一款按需提供的解决方案，利用自主AI智能体对组织的资产进行测试，并在当天提供测试结果。

依托YesWeHack丰富的进攻性安全经验，Agentic Pentest能够帮助组织识别漏洞、测试其在现实世界中的可利用性，并发现范围内资产的攻击路径。

该解决方案支持对Web应用程序、移动应用程序、API及其他面向互联网的资产进行黑盒、灰盒和白盒测试。

作为欧洲和亚太地区的进攻性安全领导者，YesWeHack采用了包括开放权重模型在内的最顶尖的前沿模型进行进攻性测试。这种灵活的方式使组织能够使用在世界任何地方（如欧盟或亚太地区）开发和/或托管的模型。

智能体在YesWeHack开发的安全护栏内运行，以在整个测试过程中保护客户系统的机密性、完整性和可用性。

统一的漏洞管理

Agentic Pentest已深度集成到YesWeHack更广泛的进攻性安全与风险管理平台中。

客户可以将Agentic Pentest的发现与通过YesWeHack漏洞赏金计划和人工主导的持续渗透测试发现的漏洞进行统一管理。人工主导的测试能够发现全自动方法遗漏的复杂漏洞；此外，该平台还整合了漏洞披露政策和用于检测正在被活跃利用的CVE的安全检查点。

为进一步简化修复流程，安全团队可以选择利用YesWeHack的内部审核团队来验证、重现并丰富报告内容，从而确保零误报。

YesWeHack首席执行官兼联合创始人Guillaume Vassault-Houlière评论道：

“与传统由人工主导的渗透测试相比，Agentic Pentest的设置和运行更快捷、更简单，同时还能提供更广泛的覆盖范围、更强的可扩展性和更低的成本。这使得安全运营团队能够更快地识别和修复漏洞——在攻击者日益被AI赋能且漏洞利用窗口期不断缩短的当下，这一点至关重要。”

“结合我们更广泛的进攻性安全与风险管理平台，Agentic Pentest赋予了安全团队敏捷应对对手的能力，通过快速验证并优先处理构成重大风险的漏洞，有效排除干扰信息。”

“归根结底，多元化的进攻性安全策略能够推动运营效率的提升。漏洞赏金计划和社区专业知识仍然是任何主动防御策略的核心支柱，这一点已在实践中得到了反复证明。”

核心功能

• 按需测试，在测试过程中持续提供经过验证的发现结果
• 支持对Web应用程序、移动应用程序、API及其他面向互联网的资产进行黑盒、灰盒和白盒测试
• 覆盖高影响力漏洞类别，包括OWASP Top 10及完整的攻击路径
• 可选的7天24小时全天候专家审核服务，用于验证、重现和丰富发现结果
• 集中的修复工作流、分析及可导出的报告，以统一呈现网络风险全貌并简化合规工作

可用性与产品路线图

Agentic Pentest现已可用于测试外部攻击面上的资产，YesWeHack正在开发对内部测试范围的支持。该解决方案已在法国跨国企业Dassault Systèmes和Sanofi以及多家其他法国CAC 40指数公司中部署。

此外，该功能也将向2025年被YesWeHack收购的网络安全审计公司Sekost的客户开放。

YesWeHack漏洞赏金计划生成的数据不会被用于训练Agentic Pentest所使用的AI模型。

关于YesWeHack

YesWeHack是领先的进攻性安全与风险管理平台，提供基于API的一体化解决方案，以保护组织不断扩大的攻击面。其人机协作模式结合了漏洞赏金计划（依托由超过15万名技术娴熟的道德黑客组成的全球社区）、自主渗透测试、持续渗透测试和统一的漏洞管理，能够大规模提供敏捷、全面的安全测试。其客户包括Louis Vuitton、Ferrero、欧盟委员会、Tencent和L’Oréal Groupe。该平台已获得ISO 27001认证、CREST认证，数据托管于欧盟境内并完全符合GDPR合规要求。