2024年と2026年の間にオフェンシブセキュリティで測定可能な何かが起こりました。オープンソースAIペネトレーションテストツールをカタログ化する研究努力では、2023年4月のGPT-4リリース前に5つ以下でした。2026年初頭までに70以上 — つまり、それに続く18ヶ月でおおよそ65が現れました。それは緩やかな上向きトレンドではありません、それは段階的な変化です。興味深い質問は、AIがオフェンシブセキュリティに到達したかどうかです — 明らかにそうです — しかし形状はその形です。答え、ますます、モデルコンテキストプロトコルです:言語モデルが外部ツールを発見し呼び出すことを可能にする新興標準で、それは静かに十年の兵器群をLLMに結合させる接続組織になってきました。ペンテストユーティリティの古い。
この投稿は、そのブームが実際にどのように構造化されているかを見ます。見出しを集めるフレーミングは「自律AI ハッカー」ですが、下の耐久パターンはより散文的でより重要です: nuclei、sqlmap、ffuf、hydraなどの既存のバトルテストされたツール、および数十以上を包み、それらを計画し、順序付ける機能を実行できるモデルに公開する MCP ツールサーバー。そのパターンを理解することは、オフェンシブCapabilityと防御的な含意の両方を理解するキーです。
MCP が実際に変わったことは何か
ここで MCP が重要である理由を確認するには、それが何をするかを思い出すのに役立ちます。モデルコンテキストプロトコルは、モデルがツールとデータソースにどのように接続するかを標準化します。すべてのアプリケーション手書きのOneOff統合の代わりに、ツールは MCP サーバー経由で独自にさらされ、任意の MCP 対応クライアント — Claude、Cursor、またはカスタムエージェント — は利用可能なツールを発見し、それらのスキーマを読み、それらを呼び出すことができます。これは、推論モデルと外部世界の間の普遍的なアダプタです。プロトコルの1年のマークまでに、エコシステムは10,000を超えるパブリックサーバーで報告されて、パターンがいかに急速に広がったかを示しています。
オフェンシブセキュリティはほぼ理想的なフィットであることが判明しました。フィールドはすでに数百の成熟した、スクリプト可能なコマンドラインツール、それぞれ1つの仕事で優れた:ポートスキャニング、ディレクトリ力ずくで強制的に、SQL注入、認証情報攻撃、サブドメイン列挙。それが欠けていたのは、どのツールを実行するかを選択し、出力を解釈し、次のステップを決定するための接続推論 — 熟練したオペレーターが供給する判断。それは正確に言語モデルが提供できることです、ifそれはツールを呼び出すことができます。MCP は欠けているリンクです。既存のツール MCP サーバーで wrapped、有能なモデルを指し、ワークフロー、実行できるシステムを計画できるシステムがあります正しいツール順序で、その結果を読み、適応 — 基礎ツールを書き直さずに。
ツールサーバーパターン、具体的に
このパターンの最も明確な例は、LLMから従来のツール処理への明示的なブリッジをプロジェクトします。HexStrike AIは、MCP 経由で従来のセキュリティツールの大規模なカタログへの LLM 間のブリッジ —を正確に説明しており、エージェントが自律的に実行スキャナとUtilsfor reconnaissance、脆弱性発見、およびバグ bounty オートメーション。関連プロジェクト、Help Net Security の月刊オープンソースラウンドアップに表面化された、周囲200のオフェンシブツールをラップして、単一の MCP エンドポイント裏側から到達可能な Claude Code、Cursor、または任意の MCP クライアント、そして注目すべきことに、ガードレールフラグを追加 — 「intensity=safe」モード、rate-limit respect、および厳格なスコープ実行 — 過度に熱心なエージェントが許可されたターゲットの外側に逃げるのを防ぐため。
その最後の詳細は、成熟曲線を明らかにするために、に住んでいる価値があります。これらのツールの最初の世代は生の能力のために最適化されました:エージェントができる場合どのくらいを参照してください。次の反復は、能力を使用可能にするコントロールを追加するのが開始されました — スコープロック、rate limiting、安全なモード。これは、強力なツール処理が成熟する方法を鏡像しますが、ここで通常に到達し、unsensioned 自律スキャナーの下側がそれほど明白であるためです。
Wrappers を超えて、ブームには、より自律設計が含まれています:複数エージェント — 研究用1つのエージェント、別の実行用、別のインフラストラクチャ用 — およびPentestGPT のような LLM ドリブンプランナーがマルチステップテスト処理を調整します。しかし、これらすべてもボトムアウトしがちです、実際の仕事がここで起こるレベルで、同じ信頼できるプリミティブ上。モデルはプランナーと解釈者です。実際のスキャニング、ファジング、およびエクスプロイト実行も通じてコミュニティが数年上を硬化させました。インテリジェンスは新しい;筋肉は古い。
なぜラッピングが再発明を打つか
AI オフェンシブセキュリティが、モデルが最初の原則から不援助でハック、新しい利用を生成する場合、想像することはありがたいです。それは研究フロンティアで起こりますが、2026年で実用的な値が座る場所ではありません。値は単に化学し、理由は簡潔です。既存のツール良いです。nucleiはコミュニティが維持した脆弱性テンプレート方法をエンコードしています。sqlmapはSQL インジェクション技術の年数の累積を体現しています。ffufおよびferoxbusterは高速で、よく調整されたコンテンツ発見エンジンです。そのナレッジを モデル内に再構築することは無駄で悪い方がよいでしょう。ラッピングは安価で信頼性があります。
モデルが追加するのは接続判断で、以前は熟練した操作を必要としました。nmap 結果を読み、公開されたサービスが特定のnuclei テンプレートを保証するかどうかを決定し、インジェクション可能に見える参数に気付き、正しいフラグで sqlmap に渡し、発見されたサブドメインがエンゲージメントのスコープを変更することを認識します。この分業 — モデルはプランナーと解釈者、確立されたツール実行者 — は実際に機能するアーキテクチャで、MCP が それを合成可能にするもの。それはまた、オフェンシブAIエコシステムが防御側がすでに理解するツールの信頼性を継承することを意味し、これはフェンスの反対側に影響を及ぼします。
MCP調整評価のスルー散歩
パターンを具体化するために、MCP ツールサーバーがモデルとツール処理の間に座ると、認可のWebアプリケーション評価がどのようにそれ以上に見えるかを検討してください。オペレータはエージェントにスコープを与えます — テストを許可されているドメイン — および目標。エージェントは、サブドメイン列挙ツールとポートスキャナー経由にそれらの MCP ラッパーを呼び出し、偵察で開始します。構造化された結果を読み、非標準ポート上にWebサービスに注意を払う。次に、feroxbusterのようなコンテンツ発見ツール、読み取り応答、注意を払い、ディレクトリマップを呼び出し、データベースに到達する可能性があるパラメーターをスポット。
この点でモデルが実行しているのは、熟練したオペレータがすること:その特定のパラメーターをsqlmapに、適切に保守的なフラグで渡し、sqlmap の評決を解釈し、スケールまたはいずれかを移動します。ガイドレール全体を通して、十分に構築されたサーバーはサイレント仕事をしています — 宣言されたスコープの外側ターゲットを拒否し、リクエストレートを調整し、エージェントを「安全な」intense帯に保ち、たとえば、実運用に対して破壊的なペイロードを起動することはありません。シーケンス全体は、ヒトが実行するのと同じツールセットです。モデルが貢献するのは、ステップ間の接続意思決定、およびコーヒー休憩なしでそのループを実行する速度。
重要な観察は、個々のアクションのいずれもが新しいことではないということです。そのチェーン内のすべてのツール前にあります、AIブームの年で。新しさは完全に調整レイヤーにあり、それはCapabilityが信頼性のある理由の両方であり、再現可能:エージェントは予期しない影響を持つ利用を即座ない、特性が特性化される良好なツールの上に立つ。
完全に自律なアプローチはまだ闘争するところ
これらのシステムが解決された問題であると示唆するために、セットの図をオーバーステートするでしょう。調整レイヤーはそれを駆動するモデルの制限を継承します。エージェントはあいまいなツール出力をしばしば誤読し、死と確信を詰め残す、そして時折、下にあるツールが支援された結論を製造します。複雑な環境では、彼らは多くのステップを失い、本当に創造的なリープに弱いままです — 微妙な個別の良好なファインディングをいくつか連鎖させることで、本ハッカーが専門の操作者を区別するもので。オートメーションの報酬が十分に歩みの幅と速度です。ハード目標の専門の赤チームの創意工夫はまだ不です。
これは、2026年の最も信頼できる展開がこれらのツールをヒトオペレータの力乗数として扱う理由です。エージェントは広い、反複的なスイープ — 偵察、テンプレート化スキャニング、明白なインジェクション可能なトリアージ — そして表面が候補は、ヒトの判断と追求のためのサーフェスです。この分割は両方の強度に演奏します:機械の倦まぬばかりと人間の判断。それはまたスコープとそれが大きく問題であるドメインで、unsupervised 誤りが本当の害を引き起こす可能性がある場所でも、人を責任に保ちます。
これが防御側が意味すること
防御の離陸は「AIハッカー」フレーミングが提案するのに新しい警報と行動より少ないです。最初は速度と量についてです新しい攻撃ではなく。これらのシステムはほとんど防御者がこれまでに直面したのと同じツールを実行しますが、より速く、より良くそれらを実行し、更に、スケール、より低い専門を必要とする評価を導いています。実用的な含意は、インターネット対面 asset が受け取るプロービングのベースラインレベルが上昇しているということです。Fundamentals — パッチ、attack-surface 削減、sensible rate limiting と異常検出 — より大きい物質に重要な少ないということではなく、プロービングのコストが下がっているため。
2番目の離陸はそれ検出シグナルが大体キャリーオーバーという点です。MCP オーケストレーション エージェント走行 nuclei と ffuf はまだ nuclei と ffuf に信号を交通パターン生成します。スキャニングが認識可能です;変わったのは上のオーケストレーション。防御者は既に質量ディレクトリ brute-force またはテンプレート脆弱性スキャンを検出する場合、彼らは開始され始めませんか。彼らは、しかし、段階を期待すべきで、自動的に、段階です、なぜなら計画 loop は自動化されたためです。
3番目、そしてほとんど戦略的な、同じパターンがない防御的な機会です。MCP は攻撃テクノロジーではありませんが、中立の統合標準です。同じラッピングアプローチは防御ツールに適用します — 検出、トリアージ、応答ツールをモデルに公開することができます。それは警告と調査を単一の複合化 と調べます。攻撃面は、そのツールが大多数だったためです、まず移動のメリットが速く、しかし相互ラッピングアイデアは対称的です。セキュリティチーム検証が AI フィットのどこかの自身の信頼ツール、カタログのどのツール単位 from に群れを恩恵を受けることを要求すべき。
必要な慎重:すべてはこれは認可を仮定します。これらのツールが認可テストに価値がある能力彼らは誤用となったとき危険です。実行、あなたが所有していないシステムに対する自律的なオフェンシブ agent または明示的な許可がない誤用で、違法でよく定義されます。責任あるプロジェクトで追加される guardrails は、理由のためにある、その理由は必須のない提案的な扱われているべきです。
MCP ツールサーバーを安全に構築または評価する
自身のオフェンシブ MCP サーバーの構築またはその前採用の評価が検討されるチーム、いくつかの engineering 原理分離責任あるプロジェクトより無責任です。スコープ実行 structural の非助言べき — サーバー — そのような even confusedまたはを直接その境界の外側をツール、の認可物理的に cannot。Rate limiting は同じ場所に属しています、target 保護 と操作者の両方をオペレータが積極的に parallelizeを決定します。
Intensity controls は次のレイヤー : 安全ごとに、明示的に有効しない限り、本当に破壊的な操作を無効にするデフォルト mode、危険 capabilities gated の行動設定の後ろに。Audit capacity もまた重要です。エージェントが自律的な決定を作るためには、server ツール call、パラメータ、および結果すべてをログに、producinga 評価可能な、正確に実行を再構築するための trail のテール。Trail はclient を両方に本質的です,自身の説明,engagement 後ろ。May 2026 tool that shipped explicit " strict scope"と" respect rate limits" flags はtemplate が正確に good これらのコントロール first-classと legible ではなく埋までのおなじみが。
Defenders 評価に晒されたことは、同じアーキテクチャは有用な practice 提案:assume adversary の1つのこれらのオーケストレーター指向をあなたの周辺に持つ,ask ほかあなたの検出がそれに気付いたです。根本的なトラフィックがコンベンショナル走査するため,正直な答え一流の組織を1つです。。个别ツールはdetectable ですが,Speed of適応 段階間に新しい変数です。提示する,アラートに rapid reconnaissance exploit pinot を遅切らかすほう isolateで,を遅延するかわりに scan 署名は boom が demand する修正です。
底 線
2024-2026 の攻撃セキュリティ AI ブームは本物ですが,その定義 shape は lone AI ハッカーではありません — それは MCP ツール-サーバー:薄いreasoningレイヤーの上に,は深いのスタックで信頼 conventionalツールの上。Architectureこれは capability が信頼性の理由,スケーリングは fast たぶん防御含有ベースは evolutionary rather apocalyptic。 tools は same;オーケストレーション新です。 defenders,のは doubleダウンの動きは Fundamentals, recognize 検出既存 apply,および学習 same ラッピング防御より得ることパターン gain。接続組織 both 方法— そしてその側 integrates その信頼 most thoughtfullyは得ることはありません out。
##参考文献とリソース
ツールとプロジェクト
レポートと分析
- 2026年5月の最も熱いサイバーセキュリティオープンソースツール — Help Net Security
- AIオフェンシブセキュリティブーム:18ヶ月で70のツール — Hadrian
- 2026年向けトップオープンソースAIペンテストツール — RedFox Security
関連する1337skillsチートシート