1、AiPy 簡介#
AiPy 是知道創宇 404 實驗室星鏈計劃的開源項目。AiPy 實現大模型自己動手寫程序去操作計算機、操作數據庫、操作瀏覽器、操作所有的應用程序等,打造具備自主開發、執行和反饋閉環的智能體系統。
2、AiPy Windows 系統安裝#
來到 Aipy 官網 https://www.aipy.app/ 直接選擇進行 Windows 一鍵運行解壓後目錄結構如下:
創建配置文件 aipy.toml:
[llm.trustoken]
api_key = "your key"
base_url = "https://api.trustoken.ai/v1/"
model = "auto"
max_tokens = 16384
enable = true
default = true
關於 key 的問題,可以用各平台的接口,也可以用本地部署的大模型接口,看自己的需求了。當然了第三方也是要付費的。配置好之後雙擊 run.bat 啟動。
3、AiPy 谷歌瀏覽器操作#
給 AiPy 下達提示詞,讓它啟動谷歌瀏覽器。當執行失敗時,它會找出原因,變更代碼成功啟動谷歌瀏覽器。當讓它每 2 分鐘獲取一次 redbull 官網的照片時成功執行。
4、AiPy 進行漏洞挖掘?#
啟動谷歌瀏覽器,爬取 http://vulnweb.com/ 的子域名的接口,保存到 d.txt 文件中。根據接口的路徑,判斷是否易受攻擊,如果易受攻擊,就對該接口構造無害 payload 進行檢測是否存在 XSS 漏洞。其他漏洞不檢測。獲取到子域名,當然了,這裡並沒有明確用什麼方法或途徑去獲取子域名。讓 AiPy 自行想辦法。
到此差不多就結束了,只是做個演示,畢竟提示詞要好好構造才有可能挖到漏洞。