Мероприятия Календарь О нас
Онлайн-интенсив для практикующих пентестеров

Собери свою AI-агентскую систему под полный цикл пентеста

Ты будешь проектировать агентов, связывать их в рабочий процесс и запускать на своих задачах уже во время интенсива.

Сергей Зыбнев
Автор и спикер программы Сергей «Похек» Зыбнев

Тимлид пентестеров в «Бастион». 1,5 года R&D в AI для пентеста

Узнать больше

где ломается AI в пентесте

Когда разбираешься сам — это время, расходы на тесты и риск не дойти до рабочей системы

Идея кажется простой: собрать агентов под свой стек, связать их в процесс и запускать на задачах пентеста.

Но дальше всплывают модели, промпты, связки, отладка, валидация, безопасность данных. Вместо автоматизации появляется новая ручная работа: переносить контекст, чинить пайплайн и перепроверять LLM.

Это быстро становится дорогим: API, инфраструктура, лимиты, ошибки модели, твои часы. Без системы получается так: что-то работает разово, но результат нельзя стабильно повторить, масштабировать и безопасно использовать.

Главная боль: разные AI-инструменты не складываются в процесс. Они дают идеи, но не держат контекст, не валидируют гипотезы и не ведут к понятному результату.

Junior промтит. Senior строит агентов.

Ты уже используешь AI для мелких задач, теперь построй систему.

01

LLM как поисковик

Спросил — получил ответ. Полезно, но все равно делаешь все руками.

02

LLM для задач

Отчеты, подсказки по эксплойтам, разбор кода. Быстрее, но не масштабируется.

03

Агентская система

Цепочка, которая проводит разведку, анализирует код, строит гипотезы атак и готовит отчет. Ты контролируешь, а не делаешь руками.

что ты получишь на интенсиве

Соберёшь пентест-движок и доведёшь его до управляемого результата на реальных сценариях

  1. Рабочая агентская система

    Соберешь агентов под свой стек и задачи offensive security, чтобы использовать систему после интенсива.

  2. AI-pipeline на реальных сценариях

    Свяжешь разведку, анализ инфраструктуры и уязвимостей в единый процесс и отработаешь его на Standoff 365.

  3. Своя база инструментов

    Подготовишь архитектурные схемы, шаблоны, промпты и сценарии для этапов пентеста.

Сергей Зыбнев
«Я потратил полтора года на эксперименты с AI-агентами, чтобы понять, что реально работает в пентесте, а что остается красивой демонстрацией.»
Сергей Зыбнев
  • Тимлид пентестеров в «Бастион»
  • 5+ лет опыта в ИБ
  • Автор Telegram-канала «Похек» — 16k+ подписчиков
  • 1,5 года R&D в AI для пентеста
  • Практический опыт экспериментов с AI-агентами
Для кого

Для тех, кто уже работает и хочет принципиально другой уровень

Пентестер

Ускорить recon, анализ, гипотезы, PoC и отчет.

Bug bounty researcher

Быстрее обрабатывать периметр и доводить findings до отчета.

Red Team / offensive security

Понять, где агентские системы встраиваются в атакующий workflow.

AppSec / DevSecOps / Security engineer

Разобраться, как AI применяют в security-testing и анализе кода.

Ты соберешь не одного агента, а целую команду

Каждый агент закрывает свой этап. Между собой они связаны pipeline'ом. Сверху — слой контроля и безопасности. Ты оператор, не исполнитель.

01 / Агент на веб-сценарии

Разрабатывается и запускается на веб-сценарии

Настраивается агентская среда Claude / GPT. Агент запускается на веб-сценарии, с базовыми защитами: фильтрацией, ограничениями действий и правилами обработки данных.

02 / Агент разведки и анализа инфраструктуры

Собирает и анализирует данные recon

Обрабатывает и нормализует результаты сканирования, агрегирует данные из разных инструментов и анализирует их с помощью LLM.

03 / Агент гипотез атак

Определяет приоритетные точки входа

Выявляет потенциальные точки атаки и формирует гипотезы атак на основе AI-анализа.

04 / Агент аудита кода

Ищет уязвимости и небезопасные паттерны

Использует AI-анализ кода и уязвимостей, помогает в triage результатов SAST, ускоряет code review и анализ pull-request.

05 / Агент PoC и отчётности

Готовит exploit-скрипты, PoC и отчёт

Генерирует payload и exploit-скрипты с помощью LLM, помогает улучшать PoC, автоматизирует тестовые сценарии, формирует технические описания атак, findings и отчёт.

Слой безопасности / поверх всех агентов

Ограничивает действия агента и работу с чувствительными данными

Фильтрация ввода и вывода, ограничения действий, правила обработки данных, чтобы агент не отправил то, что нельзя.

программа

4 ключевых темы. Уже с первой разработка

1

AI-агенты и безопасная работа с LLM

Темы

  • Ландшафт AI-инструментов в безопасности: LLM, ассистенты и агентные системы
  • Архитектуры и сценарии применения AI-агентов в offensive security
  • Реальные задачи, где AI ускоряет работу пентестера
  • Ограничения LLM: галлюцинации, ошибки анализа, некорректные выводы
  • Безопасная работа с LLM: риски утечки данных, изолированные среды

Практика

  • Настройка агентской среды (Claude / GPT)
  • Разработка и запуск агента на веб-сценарии
  • Внедрение базовых защит для агента: фильтрация, ограничения действий, правила обработки данных
2

AI-pipeline для разведки и анализа инфраструктуры

Темы

  • Роль AI в этапе reconnaissance и анализе инфраструктуры
  • Обработка и нормализация результатов сканирования
  • Агрегирование данных из разных инструментов и их анализ с помощью LLM
  • Выявление потенциальных точек атаки и формирование гипотез атак
  • Использование AI-pipeline для анализа внешнего периметра

Практика

  • Сборка AI-pipeline для анализа инфраструктуры (recon)
  • LLM-анализ результатов сканирования
  • Определение приоритетных точек входа и гипотез атак на основе AI-анализа
  • Работа с программами Bug Bounty Standoff 365
3

AI в анализе уязвимостей и аудите кода

Темы

  • Подходы AI-анализа кода и уязвимостей (AI-SAST)
  • Поиск небезопасных паттернов и ошибок безопасности
  • Использование LLM для triage результатов SAST
  • Применение AI для ускорения code review и анализа pull-request
  • Ограничения AI-аудита: ложные срабатывания, пропуск уязвимостей, проблемы контекста

Практика

  • AI-assisted аудит кода
  • Формирование сценариев эксплуатации
  • Триаж результатов AI-анализа
4

Генерация PoC и автоматизация отчетности

Темы

  • Генерация payload и exploit-скриптов с помощью LLM
  • Использование AI для улучшения и анализа PoC
  • Автоматизация тестовых сценариев и воспроизведения уязвимостей
  • Генерация технических описаний атак и findings
  • Использование AI для подготовки отчетов по пентесту и security-testing

Практика

  • Разработка exploit-скрипта и PoC на основе анализа уязвимостей с использованием LLM
  • Формирование отчета с использованием LLM
ключевые результаты обучения

После интенсива ты сможешь проектировать, собирать и применять AI-агентов в offensive security

01

Проектирование архитектуры AI-агентской системы

Научишься думать об AI как инженер, а не пользователь.

Что ты будешь делать на интенсиве
  • Поймешь принципы работы AI-агентов и их отличия от эпизодического использования LLM
  • Спроектируешь архитектуру агентской системы под задачи offensive security
  • Выберешь модели, инструменты и источники данных под работу агента
02

Разработка и настройка AI-агента

От пустого экрана до рабочего автономного агента.

Что ты будешь делать на интенсиве
  • Настроишь среду работы AI-агента
  • Разработаешь логику агента и сценарии взаимодействия с инструментами безопасности
  • Настроишь ограничения и правила безопасной работы агента
03

Сборка AI-pipeline для security-тестирования

Связываешь отдельных агентов в единый рабочий процесс.

Что ты будешь делать на интенсиве
  • Интегрируешь AI-агента в рабочий pipeline offensive security
  • Автоматизируешь обработку результатов reconnaissance и сканирования
  • Сформируешь гипотезы атак на основе анализа инфраструктуры
04

Использование агентской системы для анализа уязвимостей

Превращаешь AI в полноценного аналитика уязвимостей.

Что ты будешь делать на интенсиве
  • Применишь LLM для анализа уязвимого кода
  • Автоматизируешь triage результатов анализа
  • Используешь AI для генерации сценариев эксплуатации
05

Автоматизация offensive-workflow

Закрываешь полный цикл — от уязвимости до отчета.

Что ты будешь делать на интенсиве
  • Сгенерируешь PoC и exploit-скрипты с использованием AI
  • Автоматизируешь подготовку технической документации и отчетности
  • Выстроишь воспроизводимый процесс security-тестирования на базе AI-агентов

Запишись, пока есть доступные места и действует ранняя цена

  • Рабочая агентская система под твой стек
  • AI-pipeline на реальных сценариях Standoff 365
  • Своя база инструментов: схемы, шаблоны, промпты
  • Удостоверение о повышении квалификации установленного образца

Узнать больше