Cosine 公司推出了名为 argusred 的 CLI 安全工具,旨在利用专门进行后训练的 AI 模型来解决通用大模型因安全策略而拒绝执行渗透测试任务的问题。该工具基于 Cosine 自研模型,通过本地二进制文件运行,结合了 Go 语言底层安全套件,实现了对代码的深度审计与系统攻击模拟。argusred 提供两种运行模式:Security Scan 为只读的静态分析,扫描依赖漏洞、硬编码凭证及注入向量;Pen Test 则针对用户授权的目标进行主动探测和漏洞利用尝试。为了确保 AI 行为的可控性,开发者在模型下方植入了一个 Go 语言拦截层,能够确定性地阻止文件写入等危险操作,或在渗透测试中将网络流量限制在预定范围。该工具支持通过 Docker 进行漏洞验证复现,不仅能输出包含修复建议的 Markdown 报告,还能直接提供概念验证脚本。目前该工具已在 macOS 和 Linux 平台上线,采用 Freemium 商业模式,与 Cosine 编码助手共用账户体系。
事件分析
此次发布展示了 AI 在垂直安全领域的应用新范式,即通过微调和工程化手段解决通用模型在特定场景下的“对齐陷阱”。传统大模型往往因安全对齐策略拒绝处理攻击性代码,导致安全自动化工具需依赖繁琐的提示词工程绕过。Cosine 采用“后训练”方案从模型层面修正行为,并辅以底层 Go 语言“安全带”进行硬隔离,这种“模型意图 + 系统兜底”的双重架构为 AI Agent 执行高风险操作提供了可复制的工程模板。随着 Agent 技术向实操化发展,将权限控制下沉到系统层而非单纯依赖模型自律,将成为构建可信 AI 工具的关键路径。
💡 核心观点:突破 AI 安全边界,将“拒绝”转化为“受控执行”,标志着 AI Agent 从被动阅读向主动实战演进。
原文链接:Hacker News
AI周刊:大模型、智能体与产业动态追踪