从 2025 年 8 月开始，我就接触并尝试使用 Claude Code 执行自动化渗透测试任务。当时我的第一感觉是：这东西非常有潜力，甚至像是发现了一件“新武器”。后来大概到 10 月前后，Claude 官方也逐渐意识到这类工具在网络攻击场景中的可用性，并陆续发布了相关预警和通报。 
所以我对腾讯云黑客松渗透测试挑战赛其实是有期待的。第一届比赛给我的观感就不错，至少有不少队伍是在认真思考“自动化渗透测试”这件事本身。比如第一名对渗透测试非线性过程的重新定义、对图规划语言的理解；第二名对信息收集阶段的深入拆解；第三名提出的多智能体框架；以及其他队伍展示出来的各种方法论和工程思路。这些内容即使不一定完全成熟，至少能看出他们在尝试提出自己的问题、自己的抽象和自己的技术路线。 
但第二届比赛看下来，尤其是前十队伍的汇报，给我的感觉就比较失望。大量内容都集中在介绍已有的上下文压缩技术、已有的智能体...