AutoSploit工具引发的争议

AutoSploit是由一位网络安全爱好者发布的新工具，它结合了Shodan和Metasploit两个知名工具，形成了一个自动化的攻击机器。该工具的发布引发了广泛的争议，因为它能够自动化地利用远程主机的漏洞，尤其是针对物联网（IoT）设备的大规模攻击。

工具的功能与机制

AutoSploit通过Python脚本从Shodan数据库中提取数据，并利用Metasploit框架执行渗透测试。Shodan是一个搜索引擎，能够访问数百万个互联网连接系统的扫描数据。AutoSploit通过命令行接口和文本文件来运行Metasploit模块，甚至可以选择“Hail Mary”模式，即对每个目标运行所有可用的Metasploit模块。

争议与批评

安全专家对AutoSploit的发布表示担忧，认为它可能会被脚本小子（script kiddies）用于大规模攻击公共系统，类似于Mirai僵尸网络对IoT设备的攻击。Richard Bejtlich和Amit Serper等安全研究人员在Twitter上批评了该工具，认为它没有正当理由将大规模漏洞利用工具公开化，尤其是在结合了Shodan的情况下。

历史背景与相似争议

AutoSploit引发的争议与十年前Metasploit和Shodan的发布类似。当时，Metasploit框架的发布也被认为过于激进，而Shodan则被视为“入侵即服务”（IaaS）的一部分。尽管这些工具如今已被广泛接受并用于合法的安全测试和执法活动，但AutoSploit的出现再次引发了类似的道德和技术争议。

工具的局限性

尽管AutoSploit试图将Shodan和Metasploit结合成一个更强大的工具，但其代码实际上并没有比更简单的脚本做得更好。它的目标选择能力非常有限，用户需要提前进行大量工作才能使其针对特定目标有效。此外，工具的自动化程度较低，运行速度较慢，且可能引起执法部门的注意。

结论

AutoSploit的发布再次展示了现有工具对“网络爱好者”的易用性，而这种易用性是由于内部使用这些工具的组织需求所推动的。正如Dan Tentler所指出的，随着安全工具的简化和普及，这种问题将继续出现。最终，AutoSploit只是一个非常粗糙的工具，其威胁模型更多是来自于无聊的脚本小子，而非高级攻击者。