Duy Linh
Writer
BruteForceAI là công cụ kiểm tra xâm nhập tiên tiến kết hợp tự động hóa và trí tuệ nhân tạo, mang đến cách tiếp cận mới trong việc phát hiện và tấn công biểu mẫu đăng nhập. Được thiết kế cho chuyên gia bảo mật và nhà nghiên cứu, công cụ này hợp lý hóa hai bước chính: tìm biểu mẫu đăng nhập và thử nghiệm thông tin xác thực.
Khác với công cụ brute-force truyền thống, BruteForceAI tích hợp phân tích Mô hình ngôn ngữ lớn (LLM) cùng khả năng tấn công hiện đại. Ở giai đoạn đầu, LLM quét các trang web và tự động xác định thành phần, bộ chọn biểu mẫu. Điều này loại bỏ thao tác thủ công vốn phải kiểm tra mã HTML. Người dùng chỉ cần đưa vào danh sách URL mục tiêu, hệ thống sẽ nhận diện biểu mẫu chỉ trong vài giây, giúp tăng tốc và cải thiện độ chính xác.
Khi phát hiện biểu mẫu, BruteForceAI chuyển sang chế độ tấn công với hai phương pháp: brute-force cổ điển thử toàn bộ tổ hợp tên người dùng và mật khẩu, hoặc chế độ rải mật khẩu để kiểm tra nhiều mật khẩu trên tất cả tên người dùng. Cả hai chế độ đều chạy đa luồng, cho phép hàng chục lần thử đồng thời với độ trễ mô phỏng hành vi con người. Nhờ vậy, công cụ có thể né tránh tường lửa ứng dụng web và hệ thống ngăn chặn xâm nhập.
playwright install chromium
git clone https://github.com/MorDavid/BruteForceAI.git
cd BruteForceAI
pip install -r requirements.txt
Đọc chi tiết tại đây: https://gbhackers.com/new-bruteforceai-tool-automates-login-page-detection/
Khác với công cụ brute-force truyền thống, BruteForceAI tích hợp phân tích Mô hình ngôn ngữ lớn (LLM) cùng khả năng tấn công hiện đại. Ở giai đoạn đầu, LLM quét các trang web và tự động xác định thành phần, bộ chọn biểu mẫu. Điều này loại bỏ thao tác thủ công vốn phải kiểm tra mã HTML. Người dùng chỉ cần đưa vào danh sách URL mục tiêu, hệ thống sẽ nhận diện biểu mẫu chỉ trong vài giây, giúp tăng tốc và cải thiện độ chính xác.
Khi phát hiện biểu mẫu, BruteForceAI chuyển sang chế độ tấn công với hai phương pháp: brute-force cổ điển thử toàn bộ tổ hợp tên người dùng và mật khẩu, hoặc chế độ rải mật khẩu để kiểm tra nhiều mật khẩu trên tất cả tên người dùng. Cả hai chế độ đều chạy đa luồng, cho phép hàng chục lần thử đồng thời với độ trễ mô phỏng hành vi con người. Nhờ vậy, công cụ có thể né tránh tường lửa ứng dụng web và hệ thống ngăn chặn xâm nhập.
Các tính năng nổi bật và cài đặt
BruteForceAI sở hữu nhiều tính năng quan trọng:- Phân tích biểu mẫu bằng LLM: tự động phát hiện trường đăng nhập qua mô hình Ollama, Groq.
- Tấn công đa luồng: mở rộng hơn 100 luồng mà không cần phối hợp thủ công.
- Chiến lược tấn công linh hoạt: chọn brute-force toàn diện hoặc rải mật khẩu.
- Kỹ thuật né tránh: thay đổi User-Agent, xoay vòng proxy, mô phỏng thời gian ngẫu nhiên.
- Thông báo Webhook: cảnh báo qua Discord, Slack, Teams, Telegram khi đăng nhập thành công.
- Ghi nhật ký chi tiết: lưu lại toàn bộ nỗ lực trong SQLite.
- Độ trễ tùy chỉnh: điều chỉnh thời gian tạm dừng và ngẫu nhiên.
- Cập nhật tự động: kiểm tra phiên bản tích hợp.
- Kiểm soát giao diện trình duyệt: có thể chạy ẩn hoặc hiển thị để gỡ lỗi.
- Thử lại thông minh: học từ thất bại để tăng tỷ lệ thành công.
- Cài Python 3.8+, trình duyệt playwright.
- Chạy lệnh:
playwright install chromium
git clone https://github.com/MorDavid/BruteForceAI.git
cd BruteForceAI
pip install -r requirements.txt
- Cấu hình nhà cung cấp LLM (Ollama hoặc Groq) và bắt đầu phân tích, tấn công chỉ với hai lệnh.
Đọc chi tiết tại đây: https://gbhackers.com/new-bruteforceai-tool-automates-login-page-detection/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview