HexStrike-AI 安装配置与简单实战联动（附 Cherry Studio 使用）

一、前言

随着人工智能技术与网络安全领域的深度融合，越来越多的安全工具开始引入 AI 能力，以提升渗透测试效率与自动化水平。AI 技术的引入，使得漏洞分析、攻击路径推演、情报收集等工作效率大幅提升。HexStrike-AI 就是这样一款结合 AI 的安全工具，可以用于辅助信息收集、漏洞分析以及攻击链构建。

本文将详细介绍：

• HexStrike-AI 的安装与配置
• 服务启动与对外访问
• 与 Cherry Studio 的联动
• ThinkPHP漏洞查询

适合网络安全初学者与渗透测试学习者参考。

本文所用资源：
hexstrike-ai链接: https://pan.baidu.com/s/14xbSsg4_pZx0-Elglv1T4Q?pwd=6666 提取码: 6666
或者说可以去官网下载：https://github.com/0x4m4/hexstrike-ai/

VM虚拟机，kali下载链接:https://pan.baidu.com/s/1LUwfa3A0SH3gd6e0b4OgIg?pwd=6666 提取码:6666

二、HexStrike-AI 安装

1. 使用 apt 安装

在 Kali Linux / Ubuntu 环境中执行：

# 更新本地的软件包列表
sudo apt update
# 执行hexstrike-ai的下载和安装
sudo apt install hexstrike-ai

2. 验证安装

安装完成后，可以通过以下命令查看帮助信息：

hexstrike_server -h

如果出现图示界面，说明安装成功。

三、程序文件替换

在实际使用中，需要从 GitHub 下载最新或指定版本文件，对本地程序进行替换优化。

操作步骤：
从此处下载hexstrike-ai链接
或者说可以去官网下载：https://github.com/0x4m4/hexstrike-ai/

解压后记得放在主机中，记住存放位置，之后需要知晓里面hexstrike_mcp.py的存放路径（路径中最好没有中文）。
存放好后将文件夹中所有文件复制并替换 Kali Linux中原目录文件（通常路径如下）：
/usr/share/hexstrike-ai

这样做的目的：

• 修复默认版本问题
• 获取增强功能
• 适配 AI 接口

四、配置与启动服务

1. 启动服务

hexstrike_server

启动后，可以在终端看到：

本机 IP 地址
监听端口

说明服务已成功运行。

2. 对外访问配置

如果需要外部访问，需要确保：

监听地址为 0.0.0.0
防火墙放行端口

例如：

# 防火墙放行5000端口
sudo ufw allow 5000

五、Cherry Studio的下载与使用

1. 工具简介

Cherry Studio 是一款集成化的 AI 管理工具，支持多模型接入与 API 调用，常用于：

• AI 接口统一管理
• 本地 / 远程模型调用
• 安全工具联动（如 HexStrike-AI）
• 自动化任务编排

在本实验中，Cherry Studio 主要用于连接HexStrike-AI，实现可视化操作与 AI 辅助渗透测试。

2. 下载方式

Cherry Studio 通常通过官方渠道或 GitHub 发布，推荐使用以下方式获取：

方法一：GitHub 下载（推荐）
打开 GitHub（搜索 Cherry Studio），或者直接进入官网下载：Cherry Studio官网

方法二：直接下载安装包
如果已有资源，可直接下载对应版本安装包进行安装。

六、配置Cherry Studio

1.首先添加助手，可以根据实际需求添加，这里博主添加默认助手。

2.点开左上角的设置，选择模型服务，选择模型平台，选择硅基流动，把API秘钥复制过来，或者直接登录都可以，最后右上角的按钮别忘了点开。

硅基流动官网：https://siliconflow.cn/
硅基流动邀请链接：https://cloud.siliconflow.cn/i/INUjRgUP

因为硅基流动实名认证后可以白嫖16元的额度（同样可以根据实际需求添加）。

这附上硅基流动免费额度的领取与API秘钥的创建

（1）实名认证成功后，在实名认证界面可以点击链接领取16元的代金券。
注意：要先领取代金券后再使用API秘钥，不然欠费了就用不了代金券了。
（2）创建API秘钥

描述可以随便填。

（3）到这里，秘钥就创建成功了，就可以复制过去了（友情提示，API秘钥不要泄露出去并且不用了就删掉）。

3.回到首页模型选择deepseek-ai/DeepSeek-V3.2 | 硅基流动模型。

七、MCP服务器配置

1. 什么是 MCP？

MCP（Model Context Protocol） 是 Anthropic 于 2024 年底开源的一个开放协议，旨在标准化 AI 应用与外部工具、数据源之间的交互方式。
可以把它理解为 AI 领域的 USB-C 接口 —— 它提供了一个统一的、标准化的方式，让 AI 模型能够连接和使用各种外部能力。

2. 配置 MCP 服务

在 HexStrike-AI 中配置 MCP：

（1）点开设置，选择MCP服务器。

（2）选择添加，然后选择快速创建。

（3）填一个名称，命令那一行填上python，参数那一行共需要填写三个：

E:\cherry-studio\hexstrike-ai\hexstrike-ai-master\hexstrike_mcp.py    //这是hexstrike_mcp.py文件的存放路径
--server    //不变
http://192.168.255.130:8888   //kali ip：监听端口，本文第四处有记载

（4）右上角点击保存，并打开开关进行连接，不报错并且开关打开成功，再点工具这一栏，如果有显示工具，则说明真的连接成功。

（5）然后回到首页，在对话框中找到MCP服务器，点开它，再点击手动然后选择刚刚添加的服务器（上面4步所创建的服务器），然后连接，这一步最好关掉代理（翻墙软件），连成功后就可以对话了。

（6）现在你就可以正常与AI进行对话，并让它对目标网站进行漏洞扫描了，下面图片就是一个简单的示例。

八、完整攻击流程（AI辅助）

结合 HexStrike-AI + Cherry Studio +AI模型，可以形成完整流程：

• 🎯 信息收集（AI辅助分析目标）
• 🔍 漏洞扫描（自动识别框架与版本）
• ⚔️ Payload 生成（AI生成攻击语句）
• 💥漏洞利用（自动执行或辅助执行）
• 📊 报告生成（AI总结结果）

这就是 AI 渗透测试的核心价值。

九、安全分析与思考

优势：

• 提高效率（减少人工操作）
• 自动化程度高
• 降低学习门槛
• 提供攻击思路参考

局限性：

• AI 结果可能不准确
• 依赖工具，基础能力弱化
• 无法完全替代人工判断

安全建议：

• 仅用于合法授权测试
• 不得用于非法攻击
• 强化基础知识学习

结语

AI 正在重塑网络安全行业，但工具永远只是辅助。真正的核心竞争力，仍然是对底层原理的理解与实践能力。正如某人所说：“会用工具只是入门，会造工具才是进阶。”

最后，希望本篇文章可以帮助到你。