KeyFrame
提交影片
AI 技術

I Connected Claude to Metasploit – You Won't Believe What Happened

Exploit Mastery·4月26日週日·7 min中文

三句話摘要

透過 Metasploit MCP Server 將 Metasploit 滲透測試框架接入 Claude Code,讓 AI 自動執行漏洞掃描與滲透測試,無需手動輸入指令。 Metasploit MCP Server 讓 AI 取代手動指令操作,只需自然語言即可驅動完整的滲透測試流程,大幅降低 Metasploit 的使用門檻。 MCP 消除指令記憶負擔:傳統 Metasploit 使用者需記住大量指令與模組名稱,透過 MCP Server 接入 AI 後,使用者只需以自然語言描述目標,AI 自動選擇並執行對應的 Metasploit 模組。

重點整理

重點
  • 1

    MCP 消除指令記憶負擔:傳統 Metasploit 使用者需記住大量指令與模組名稱,透過 MCP Server 接入 AI 後,使用者只需以自然語言描述目標,AI 自動選擇並執行對應的 Metasploit 模組。

  • 2

    設定流程以 Claude Code 的 Edit Config 為核心:在 Developer 設定中修改 config 檔案,填入 MCP Server 的路徑與密碼參數(影片示範密碼設為 `12346`),重啟 Claude Code 後即可建立連線。

  • 3

    連線狀態與健康檢查內建於工作流程:MCP 連接後,Claude Code 介面可直接查看 Metasploit 的連線狀態與健康狀況,確認正常後才進行掃描作業,降低操作失誤風險。

  • 4

    在受控測試環境驗證效果:講者以本地部署的 OWASP Juice Shop(一個刻意有漏洞的測試網站)作為目標,示範 AI 自動完成掃描並回傳結構化結果。

實用技巧與重點

乾貨
  • 安裝指令:`sudo apt install metasploit-mcp`(或從 GitHub 頁面取得對應 command)
  • 設定路徑:Claude Code → Developer → Edit Config(JSON 設定檔)
  • 密碼參數範例:`12346`(可自訂)
  • 掃描指令(自然語言):`scan my lab` + 輸入目標 IP address
  • 偵測結果包含:TCP Port(範例:4001 Port)、服務 Fingerprint、API 回傳結果
  • 測試目標平台:OWASP Juice Shop(本地 vulnerable lab)
  • AI 整合平台:Claude Code(MCP Client)
  • 工具名稱:Metasploit MCP Server
  • 來源:GitHub 頁面提供安裝 command

結論

結論

Metasploit MCP Server 讓 AI 取代手動指令操作,只需自然語言即可驅動完整的滲透測試流程,大幅降低 Metasploit 的使用門檻。

完整解析

詳細

滲透測試工具 Metasploit Framework 功能強大,但長期以來的痛點在於使用者必須熟記大量指令、模組名稱與參數設定,學習曲線相當陡峭。這支影片介紹的 Metasploit MCP Server,正是為了解決這個問題而生——它透過 MCP(Model Context Protocol)協議,將 Metasploit 的能力直接橋接到 Claude Code 這類 AI 工具,讓使用者能以自然語言驅動整個滲透測試流程。

安裝方式相對簡單,從 GitHub 頁面取得對應指令後,在終端機執行安裝。完成後,設定的重頭戲在 Claude Code 的 Developer 選項中:點選 Edit Config 開啟設定檔,填入 Metasploit MCP Server 的執行路徑、名稱,以及自訂的存取密碼(影片示範使用 `12346`)。儲存後完整關閉並重新啟動 Claude Code,系統會嘗試自動連線 MCP Server。若介面顯示連線失敗,依照 GitHub 頁面上的 command 重新配置即可。成功後,Claude Code 介面可即時查看 Metasploit 的連線狀態與健康資訊。

確認連線正常後,講者以本地部署的 OWASP Juice Shop(一個專為安全測試設計的刻意有漏洞網站)作為靶機進行示範。他在 Claude Code 對話框中輸入自然語言「scan my lab」並附上靶機的 IP address,AI 隨即向使用者確認授權後開始自動執行掃描。整個過程中,AI 自行呼叫 Metasploit 的對應模組,偵測到開放的 TCP Port(如 4001 Port)、服務指紋資訊,並進一步發起深度漏洞分析,最終將 API 回傳的結果整理呈現,整個流程無需使用者輸入任何 Metasploit 原生指令。

這套整合方案的核心價值在於大幅降低滲透測試的操作門檻:資安從業人員可以專注在策略與判斷上,而將繁瑣的工具操作交由 AI 代勞。值得注意的是,講者全程在授權的測試環境中操作,並提醒觀眾此技術能量強大,必須在合法範疇內使用。

關鍵時刻

Pipeline v2

帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。

事實查核

Pipeline v2

說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。

更多「AI 技術」的內容

Claude Cowork vs Codex: 誰才是更好的AI工作助手?
16 min
AI 技術中文6月20日

Claude Cowork vs Codex: 誰才是更好的AI工作助手?

李厂长来了

  • 介面設計哲學不同:Codework 以標籤頁區分聊天、文書與程式碼三種模式,任務彼此隔離不混淆;Codex 則將所有功能整合在單一介面,減少切換成本,但頁面相對雜亂。
  • 第三方整合能力差距明顯:Codework 提供大量連接器並支援 Zapier 擴展,且可針對每個連接器精細設定讀寫權限(如 Gmail 只讀免確認、寫信需批准);Codex 的插件數量較少且缺乏同等級的權限控制機制。
  • 定時任務管理方式影響長期使用體驗:Codework 將同一自動化任務的歷史記錄歸類在同一條目下,便於追蹤;Codex 每次執行都獨立列出,隨任務增多左側欄會越來越臃腫,不利於長期管理。
看重點看原片
我贏得 NVIDIA GTC Taipei 2026 的金票啦!這 4 天展期會有什麼不一樣的體驗呢? | Computex 2026
編輯精選
28 min
AI 技術中文6月20日

我贏得 NVIDIA GTC Taipei 2026 的金票啦!這 4 天展期會有什麼不一樣的體驗呢? | Computex 2026

EngineerGary

  • Tokenomics 重新定義 AI 工廠價值:黃仁勛將所有輸出重新框架為 Token = Revenue,傳統工廠生產實體商品,AI 工廠改為生產 Token;對製造端而言,目標是以最低成本產生最多 Token,實現每投入 1 元帶回 3–5 元回報的商業邏輯。
  • 開源策略是市場放大器而非讓利:NVIDIA 釋出 Cosmos 3、Apomile 3 等開源模型,以及通用人型機器人,目的是降低新創進入自動駕駛、World Model、Physical AI 的門檻,擴大整體生態系規模,最終帶動更多算力與服務需求(「The more you buy, the more you earn」)。
  • Deal to Delivery Agent 解決中小企業流程瓶頸:Gary 團隊識別出企業收到客戶需求後,需跨工具手動完成報價、開票、GitHub issue、通知等重複性操作是最大效率殺手;Agent 自動拆解商機、建立 ERP 記錄並推送 Telegram 通知,人類只需在 Draft 狀態下做最終 Review 確認。
看重點看原片
黃仁勳親自欽點⁉️執笠手機公司 BlackBerry 變身 AI 機械人主系統🤖下一個大浪提前準備
編輯精選
30 min
AI 技術中文6月20日

黃仁勳親自欽點⁉️執笠手機公司 BlackBerry 變身 AI 機械人主系統🤖下一個大浪提前準備

Coco哥

  • QNX 擁有機器人 OS 三大不可替代技術門檻
  • Windows 響應延遲 200 毫秒,Linux 一旦核心崩潰全部失效,而 QNX 具備毫秒級即時決策、ISO 26262 ASIL-D 與 IEC 61508 SIL-3 最高安全認證,以及微型內核獨立架構(單一模組崩潰不影響其餘系統),三項條件同時達標,現階段競爭對手均未能複製。
  • 40 年護城河非短期可追趕
看重點看原片