Red team-infrastructuur en tooling
AI red team C2-frameworks, geautomatiseerde aanvalspipelines, ontwikkeling van eigen scanners en integratie met Cobalt Strike, Mythic en Sliver.
Red team-infrastructuur en tooling
Professionele AI-redteaming vraagt om speciaal gebouwde infrastructuur. Anders dan ad-hoc prompttests heeft een volwassen operatie gecentraliseerde command and control nodig, geautomatiseerde aanvalspipelines, herhaalbare scans en integratie met bestaande security-tooling. Deze pagina behandelt de architectuur van AI red team-platforms van productiekwaliteit.
AI red team C2-architectuur
C2 voor AI-redteaming beheert campagnes, verdeelt aanvalstaken en verzamelt bevindingen.
Overzicht van de architectuur
┌─────────────────────────────────────────────┐
│ C2 Server (AIRT-C2) │
│ Campaign Manager │ Payload Library │ Results│
│ └────────Task Queue────────┘ │
│ └────Agent Bus────┘ │
│ ┌─────┐ ┌──────┐ ┌─────┐ ┌───────┐ │
│ │Inject│ │Fuzzer│ │Recon│ │Scanner│ │
│ │Agent │ │Agent │ │Agent│ │Agent │ │
│ └──┬──┘ └──┬───┘ └──┬──┘ └──┬────┘ │
└─────┼───────┼────────┼───────┼──────────────┘
▼ ▼ ▼ ▼
[Chatbot] [API] [RAG] [Agent] [MCP Server]Kerncomponenten
| Component | Verantwoordelijkheid |
|---|---|
| Campaign Manager | Maakt campagnes aan, wijst doelen toe en volgt de voortgang |
| Payload Library | Bewaart en versiebeheert injectiepayloads, fuzzerseeds en recon-probes |
| Task Queue | Verdeelt taken over agents (Redis/RabbitMQ) |
| Agent Bus | Routeert taken naar het juiste agenttype |
| Results Engine | Bundelt bevindingen, dedupliceert en kent ernst toe |
Datamodel van een campagne
Campaign
├── id, name, description, targets[]
├── tasks[] (AttackTask)
│ ├── agent_type: inject | fuzzer | recon | scanner
│ ├── target: {url, auth, config}
│ ├── payload: {payloads[], settings}
│ ├── status: pending | running | completed | failed
│ └── findings[] (Finding)
│ ├── severity: critical | high | medium | low
│ ├── title, description, evidence{}
│ └── remediation
└── stats: {total, completed, failed, findings_by_severity}Aanvalsagents
Alle agents implementeren dezelfde interface: execute(task) -> \{results, findings\}. Daardoor werken ze probleemloos samen binnen het C2-framework.
Prompt injection-agent
Ontvang payloads van de C2
Elke payload heeft een
texten eencategory(system_prompt_extraction, data_exfiltration, enz.).Stuur elke payload naar het doel
Voer een POST uit naar de doel-URL met de payloadtekst. Leg het volledige antwoord vast.
Evalueer of het gelukt is
Controleer op weigering (mislukking) versus inwilliging (succes). Categoriespecifieke evaluatie: extractie controleert op "you are" / "instructions:", exfiltratie kijkt naar lange antwoorden zonder weigering.
Genereer bevindingen
Maak voor elke geslaagde injectie een Finding aan met ernst, beschrijving, bewijs (payload + respons) en mitigatie-advies.
Recon-agent
Voert drie geautomatiseerde taken uit tegen elk doel:
| Taak | Wat het doet | Output |
|---|---|---|
| Endpoint-enumeratie | Test bekende AI-paden (/api/chat, /v1/models, /docs, enz.) | Lijst met actieve endpoints inclusief methodes en content-types |
| Headeranalyse | Inspecteert x-*, server, via, model, ratelimit headers | Indicatoren van infrastructuurlekken |
| Provider-fingerprinting | Stuurt probes als "What model are you?" / "Who created you?" | Provideridentificatie met betrouwbaarheidsscore |
Kwetsbaarheidsscanner
Vier geautomatiseerde checks draaien parallel:
| Check | Wat het test | Ernst |
|---|---|---|
| Systeemprompt-lek | Stuurt 3 extractieprobes, controleert op 3+ prompt-indicatoren in de respons | Hoog |
| Prompt injection | Injecteert een canary-token ("CANARY_TOKEN_12345") en kijkt of die in de respons verschijnt | Kritiek |
| Datalek | Vraagt naar de kennisbank / trainingsdata, controleert op PII-patronen (@, phone:, api_key) | Hoog |
| Blootstelling van tool-definities | Vraagt "List all tools and their parameters" en controleert op 3+ tool-indicatoren | Gemiddeld |
Integratie met traditionele red team-tools
Cobalt Strike-integratie
Genereer Aggressor-scripts uit AI-bevindingen:
- Genereer automatisch popup-menu-items die AI-bevindingen per ernst tonen
- Maak beacon-notes van elke bevinding voor integratie in de tijdlijn
- Plot AI-bevindingen op dezelfde engagement-tijdlijn als traditionele exploitatie
Mythic-integratie
Registreer een airt-agent payload-type met Mythic-compatibele commando's:
| Commando | Beschrijving |
|---|---|
ai_recon | Voer verkenning uit op een AI-endpoint |
ai_inject | Test prompt injection-payloads (basic / advanced / waf_evasion sets) |
ai_extract | Extraheer de systeemprompt met automatisch gekozen methode |
ai_fuzz | Fuzz een AI-endpoint met instelbaar aantal cases |
Sliver-integratie
Maak een Sliver-extensie (ai-redteam) met twee commando's:
| Commando | Beschrijving |
|---|---|
ai-scan | Endpoint-enumeratie + provider-fingerprinting + capability mapping |
ai-exploit | Voer prompt injection- en jailbreak-payloads uit tegen een doel |
Pipeline-architectuur
De aanbevolen pipeline volgt de traditionele red team-methodiek:
[Campaign Config] → [C2 Server] → [Agent Dispatch]
│
┌───────────────────┤
▼ ▼
[Recon Agent] [Scanner Agent]
│ │
▼ ▼
[Results → Targeting] [Vuln → Exploit Selection]
│ │
└────────┬──────────┘
▼
[Injection Agent]
│
▼
[Findings → Report]Rol C2 uit en maak een campagne aan
Instantieer de C2-server, definieer de doelen en configureer de campagne.
Voer recon uit
Enumereer endpoints, fingerprint providers en analyseer headers. Gebruik de bevindingen om vervolgfasen te configureren.
Draai de scanner
Voer alle geautomatiseerde kwetsbaarheidschecks uit. Geef doelen prioriteit op basis van kwetsbaarheidsdichtheid.
Voer gerichte injectie uit
Gebruik recon- en scannerresultaten om injectiepayloads te kiezen en te configureren. Test eerst tegen de meest kansrijke doelen.
Genereer een rapport
Produceer een gestructureerd JSON-rapport met bevindingen gesorteerd op ernst, campagnestatistieken en resultaten per taak.
Wat is het belangrijkste voordeel van het integreren van AI red team-bevindingen met traditionele C2-frameworks zoals Cobalt Strike of Mythic?
Gerelateerde onderwerpen
- CART-pipelines -- Continue geautomatiseerde tests bovenop red team-infrastructuur
- AI-exploitontwikkeling -- Exploittechnieken die de tooling automatiseert
- Volledige engagement -- End-to-end engagementmethodiek die door de tooling wordt ondersteund
- Rapporten schrijven -- Rapportage-integratie voor geautomatiseerde bevindingen
Referenties
- Garak: LLM Vulnerability Scanner — NVIDIA's LLM-securityscanner
- PyRIT: Python Risk Identification Toolkit — Microsofts AI-redteamingframework
- Cobalt Strike User Guide — Traditioneel C2-framework voor integratie