一、前言
在红蓝演习中,弱口令无论是出现在打点环节还是重要突破路径上,都非常常见。
但是每次在演习中会花大量的时间用于识别、了解、搜索了解系统(如默认密码),最后还要人工输入验证码。
为了提效之前开发了aiAssit以及AiPass,但是并未联动起来,随着AI的生产应用有一个不错的落地实践:Auto Login 。
直接看效果图。
![图片[1]-AI-Skill 自动进化的智能爆破工具(从零开始简单开发你第一个skill)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/03/d2b5ca33bd20260325222654.png)
二、展示
在演示中,Auto Login 可以实现:
- 自动识别目标系统登录页面
- 调用本地
- 自动填写用户名与密码
- 判断密码是否正确并反馈结果
整个流程无需人工干预,演示效果直观且高效。
3.1、什么是skill?
在现代 AI 框架中,Skill 是 AI 的能力模块,可以理解为一个独立功能插件。每个 Skill 都封装了特定任务的逻辑,例如网页操作、信息抓取、自动化登录等。
一个典型 Skill 项目结构如下:
my-skill/
├─ package.json
├─ index.js # Skill 主入口
├─ skill.json # Skill 配置文件
├─ utils/ # 工具函数
└─ assets/ # 资源文件(如密码库)index.js:核心逻辑
skill.json:描述 Skill 的名称、功能、参数等
utils/:辅助功能,如密码匹配、网页解析
assets/:本地资源,如默认密码库
3.2、skills – agent-browser
安装 Skills
安装 skills 管理器,一次安装给OpenCode, Claude Code, Codex, Cursor都安排上。
npm i skills安装完成后,你可以使用 skills 命令管理和调用各种 Skill。
# 列出已安装的技能
npx skills list
# 添加一个 Skill
npx skills add https://github.com/anthropics/skills --skill skill-exampleagent-browser
agent-browser 是 Skill 的一个实现,用于 AI 自动化操作网页,模拟用户行为,例如自动填写表单、点击按钮、抓取数据等。
安装 Agent-Browser
npm install -g agent-browser
agent-browser install # Download Chrome from Chrome for Testing (first time only)自动填写最终截图的例子
agent-browser open bing.com --headed
agent-browser snapshot # Get accessibility tree with refs
agent-browser fill @e8 "lufeisec"
agent-browser click "#search_icon"
agent-browser screenshot page.png
agent-browser close自动化使用bing.com进行搜索,无需写任何一行代码。
![图片[2]-AI-Skill 自动进化的智能爆破工具(从零开始简单开发你第一个skill)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/03/d2b5ca33bd20260325222740.png)
安装skill
npx skills add vercel-labs/agent-skillsSkill-Creator
skill-creator 是一个官方提供的工具 Skill,用于快速创建和初始化自定义 Skill,适合新手和团队开发者。
安装 Skill-Creator
npx skills add https://github.com/anthropics/skills --skill skill-creator总结
- Skills 提供 AI 可复用模块化功能
- Agent-Browser 可模拟网页操作
- Skill-Creator 快速生成自定义 Skill,并提供基础工具(如 Cursor)
![图片[3]-AI-Skill 自动进化的智能爆破工具(从零开始简单开发你第一个skill)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/03/d2b5ca33bd20260325222810.png)
3.3、从零开始简单开发你第一个skill
auto login
1、能够让ai自动识别系统获取默认密码(并且有少部分的本地参考)
2、本地常见的默认系统密码库
3、能够自动识别到输入框、提交按钮
4、自动识别密码是否正确
![图片[4]-AI-Skill 自动进化的智能爆破工具(从零开始简单开发你第一个skill)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/03/d2b5ca33bd20260325222822.png)
然后交给我们的cursor完成即可。
![图片[5]-AI-Skill 自动进化的智能爆破工具(从零开始简单开发你第一个skill)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/03/d2b5ca33bd20260325222849.png)
来个简单的
我们让ai去自动化登录nacos系统,获取到了nacos默认的密码是nacos:nacos,再继续登录。
使用auto_login中的skill,登录http://lufeisec.com:8848/nacos/![图片[6]-AI-Skill 自动进化的智能爆破工具(从零开始简单开发你第一个skill)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/03/d2b5ca33bd20260325222903.png)
结果很完美,成功登录成功了。我们接着挑战更高难度的网站。
【恐怖】自动进化
这个 Skill 还可以结合 AI 的自学习能力,让 AI 在执行任务时自动修复错误、优化策略,例如:
- 登录失败后自动分析错误原因
- 更新本地密码库
- 优化表单识别逻辑
- 完成任务的同时积累经验,实现 自我进化
这样,AI 不仅能完成重复性操作,还能逐步提高任务成功率。
我在网上随便找了一个网站后台,但是存在验证,但是这个skill之前通过参数传递base64的图片,导致参数太长了导致识别验证码的脚本失败了,AI自动修复再进行尝试,成功识别出验证码。总结来说,Auto Login Skill 不只是一个自动化工具,它更是一种 AI 技能在网络安全领域的落地实践。
从自动识别系统到智能纠错,再到多技能联动,它展示了 AI 在 弱口令检测、系统巡检、自动化渗透测试等网络安全任务中的巨大潜力,也为未来 AI 与安全专家的协作提供了新的认知与实践方向。
![图片[7]-AI-Skill 自动进化的智能爆破工具(从零开始简单开发你第一个skill)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/03/d2b5ca33bd20260325222928.png)
![图片[8]-AI-Skill 自动进化的智能爆破工具(从零开始简单开发你第一个skill)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/03/d2b5ca33bd20260325222939.png)
![图片[9]-AI-Skill 自动进化的智能爆破工具(从零开始简单开发你第一个skill)-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/03/d2b5ca33bd20260325222938.png)
四、最终
总结来说,Auto Login Skill 不只是一个自动化工具,它更是一种 AI 技能在网络安全领域的落地实践。
从自动识别系统到智能纠错,再到多技能联动,它展示了 AI 在渗透测试等网络安全任务中的巨大潜力(还比如钓鱼很多场景提效)。
请登录后查看评论内容