突破手工渗透壁垒:HexStrike+DeepSeek+Cherry测评
文章目录
- 环境准备
- HexStrike部署
- DeepSeek API获取
- Python环境安装
- 安装环境依赖
- Cherry Studio搭建
- Cherry联动HexStrike
说到AI驱动的渗透测试,最近有个组合特别火——HexStrike + DeepSeek + Cherry Studio。它让大模型直接接管安全工具,用自然语言下指令就能完成从侦察到报告的全流程。今天我们就一步步把这个环境搭起来,从零开始,每一步都跑通。
先把需要用到的工具和环境列出来,方便对照准备。
环境准备
- Windows 11
- Kali虚拟机:https://www.kali.org/
- HexStrike V6.0:https://github.com/0x4m4/hexstrike-ai
- Cherry Studio V1.6.5:https://www.cherry-ai.com/download
- Python 3.x:https://www.python.org/
- 将文件包全部放到某个目录下,便于之后操作:
HexStrike部署
- HexStrike是一个开源的“AI 驱动”自动化渗透测试框架,它把150+常见安全工具(Nmap、Nuclei、Metasploit、Ghidra、SQLMap、ZAP 等)全部封装成统一函数,再通过MCP协议暴露给大模型,使得Claude/GPT等LLM可以像调用“插件”一样直接指挥这些工具。
- 框架里还预制了12个“AI Agent”角色(侦察、利用、后渗透、报告等),用户只需要用自然语言下任务,系统便自动完成“目标识别 → 工具挑选 → 命令拼接 → 结果解析 → 下一步决策”的闭环循环,并输出带漏洞卡片和风险评级的可视化报告。
- 我们将它部署在Kali上。先下载HexStrike源码,然后运行如下命令(建议用root用户):
# 更新源
apt update
# 安装基础环境
apt install -y python3 python3-venv python3-pip git curl
# 开始搭建HexStrike
cd /hexstrike
# 创建hexstrike的虚拟环境
python -m venv hexstrike-env
# 进入虚拟环境的/bin/activate目录操作
source hexstrike-env/bin/activate
# 安装python依赖
pip3 install -r requirements.txt
# 如果下载比较慢,或者出现下载失败的情况,建议换国内源下载
pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple --trusted-host pypi.tuna.tsinghua.edu.cn
- 依赖安装的过程可能会比较久,不妨趁这段时间喝杯咖啡。安装完成后,启动服务端并监听8888端口:
python hexstrike_server.py --port 8888
- 访问
http://,如果有内容回显,说明服务正常::8888/health 
DeepSeek API获取
- 打开DeepSeek官网,点击右上角的API开放平台(当然也可以用其他大模型的API):
- 然后点击API keys,创建一个新的API key:
- 将API key复制保存好,一会儿会用到:
Python环境安装
- Cherry Studio会用到Python以及相关的库环境,所以咱们先把这个搞定。下载Python安装包(如果已经装了Python3,可以直接跳到下一步,注意版本冲突):
- 双击安装:
- 点击
Install Now,等待安装完毕:
- 打开终端输入
python -V验证Python是否安装成功:
- 由于我之前安装过Python 3.11,这里显示的是3.11。
安装环境依赖
- Python安装完毕后,需要确保pip与当前Python版本对应:
- 输入如下命令安装依赖的库环境:
# 更新pip软件源
python -m pip install --upgrade pip setuptools wheel -i https://mirrors.ustc.edu.cn/pypi/simple
# 安装requests、mcp库
pip3 install requests mcp -i https://mirrors.ustc.edu.cn/pypi/simple
Cherry Studio搭建
- Cherry Studio是一个面向安全研究者的“可视化任务编排 + 工具集成”平台,它和HexStrike类似,也内置了BurpSuite、Nmap、Metasploit等主流工具的快速接入接口,并通过REST API/SDK让开发者自己扩展功能。
- Cherry的亮点在于“拖拖拽拽就能配出一条扫描流水线”,对不想写代码的渗透测试员更友好。
- 这里我们将它搭建到Windows上。下载安装包,然后双击安装,选择为所有用户安装:
- 选择安装目录,放到D盘或者默认C盘都行:
- 等待安装完成:
- 能正常运行即表示安装成功:
Cherry联动HexStrike
- 上述环境全部配置成功后,接下来让Cherry与HexStrike建立通信。
- 先在HexStrike文件夹下找到
hexstrike_mcp.py文件,记下它的文件路径。 - 然后在Cherry中点击右上角的齿轮设置选项,选择MCP:
- 当这里变成绿色之后,点击添加MCP服务器,选择快速创建并填入相关信息:
- 点击保存之后启动该服务器:
- 然后选择模型服务,按照下图的步骤配置DeepSeek:
- 如果提示连接失败,可以尝试给DeepSeek账户充点钱,或者换成其他免费大模型的API。
- 回到首页,重新创建一个独属于我们的AI渗透模型:
- 保存之后,替换大模型为DeepSeek:
- 然后配置刚才创建的MCP服务器:
- 如此一来,我们就成功搭建好了HexStrike + DeepSeek + Cherry的AI渗透助手,可以开始用它来辅助渗透测试了!