xFeedBeta
xChar
·22 days ago

PentAGI:一键解锁渗透测试新境界!

PentAGI(GitHub 链接),一款由 [1] VXControl 团队打造的开源工具,凭借自动化、智能化的设计,为安全测试注入全新活力,相较于之前公众号推荐的自动化渗透测试新思路:基于 AI 的攻击路径规划与漏洞利用这个文章里面提到的 AI 渗透测试工具,已经实现了完全自主的 AI 代理,使用终端、浏览器、编辑器和外部搜索系统执行复杂的渗透测试任务等功能。

image

一、PentAGI 的核心特点

PentAGI 的设计兼顾安全、高效与灵活,简洁呈现:

  • 安全隔离:Docker 沙箱运行,确保测试零风险。
  • 全自主性:AI 代理自动规划并执行测试步骤。
  • 专业工具:集成 20+ 安全利器,如 Nmap、Metasploit、SQLmap。
  • 智能记忆:长期存储测试结果与成功策略,持续优化。
  • Web 情报:内置爬虫实时收集网络信息。
  • 外部搜索:支持 Tavily、Traversaal、Google Custom Search API,情报更全面。
  • 团队协作:多 AI 代理分工,覆盖研究、开发和基础设施任务。
  • 全面监控:集成 Grafana/Prometheus,实时掌握系统状态。
  • 详细报告:生成漏洞报告,附带利用指南。
  • 容器管理:自动选择任务所需 Docker 镜像。
  • 现代界面:直观 Web UI,操作更简单。
  • API 支持:提供 REST 和 GraphQL 接口,轻松集成外部系统。
  • 持久存储:PostgreSQL(带 pgvector)保存所有命令和输出。
  • 可扩展架构:微服务设计,支持横向扩展。
  • 自托管:完全掌控部署和数据隐私。
  • 灵活认证:兼容 OpenAI、Anthropic 等 LLM 提供商及自定义配置。
  • 快速部署:Docker Compose 一键启动,省时省力。

这些特性让 PentAGI 成为一款兼具深度与广度的渗透测试工具。

二、功能概览

PentAGI 的功能覆盖渗透测试全流程,README 中提到的核心能力不仅实用,还贴近实际需求:

  • 自动化测试:只需输入目标地址(如 example.com),PentAGI 就能自动完成端口扫描、漏洞探测甚至攻击模拟,省去繁琐的手动操作。
  • 情报收集:内置爬虫可抓取目标网站的公开信息,同时结合外部 API(如 Google 搜索)挖掘潜在弱点,例如发现未修补的 CVE。
  • 报告生成:测试完成后,生成详细报告,包括漏洞详情、复现步骤和修复建议,方便用户直接上手处理。
  • 系统监控:通过 Grafana 仪表盘实时展示 CPU 使用率、测试进度等,集成 Loki 查看日志,确保一切尽在掌控。
  • 数据管理:所有操作记录和输出存储在 PostgreSQL 中,支持后续分析或导出,特别适合长期项目。

PentAGI 部署指南

PentAGI 面向安全专业人士、研究者和爱好者,采用 Go 语言开发后端,TypeScript 实现前端,结合 Docker 提供跨平台部署能力。README 提供了详细的安装指南,步骤清晰:

1. 环境准备

  • 系统要求:Docker、Docker Compose。
  • 硬件需求:至少 4GB RAM,10GB 磁盘空间,联网状态以下载镜像。

2. 快速部署

mkdir pentagi && cd pentagi
curl -o .env https://raw.githubusercontent.com/vxcontrol/pentagi/master/.env.example

# 必填:至少有一个 LLM 提供商
OPEN_AI_KEY=你的openai密钥
ANTHROPIC_API_KEY=你的ANTHROPIC密钥

# 可选:附加搜索功能
GOOGLE_API_KEY=你的 Google 密钥
GOOGLE_CX_KEY=你的 Google_cx
TAVILY_API_KEY=你的 tavily_key
TRAVERSAAL_API_KEY=你的traversaal_key

curl -O https://raw.githubusercontent.com/vxcontrol/pentagi/master/docker-compose.yml

  1. 编辑 .env 文件,填入至少一个 LLM 密钥(如 OPEN_AI_KEY=your_key)。

  2. 运行以下命令:

    docker compose up -d

3. 访问与使用

  • 打开浏览器,访问 localhost:8443
  • 默认登录:[email protected] / admin
  • 初次使用可尝试输入本地测试目标,观察自动化流程。

4. 进阶选项

  • 监控集成:下载 docker-compose-observability.yml,运行以下命令:

    docker compose -f docker-compose.yml -f docker-compose-observability.yml up -d

    访问 localhost:3000 查看 Grafana。

  • Langfuse 支持:配置 LANGFUSE_BASE_URL 等变量,启用 AI 行为分析。

  • 视频指引:官方提供概览视频(PentAGI Overview Video),帮助新手快速上手。

PentAGI 的部署过程简单,即使是 Docker 初学者也能在几分钟内完成。

四、使用场景与优势

PentAGI 的设计使其在多种场景中表现出色,以下是具体应用及带来的独特优势:

企业安全评估

  • 场景:某公司需检查内部 Web 应用的安全性。
  • 应用:输入应用 URL,PentAGI 自动运行 SQLmap 检测注入漏洞,并生成报告,指出修复优先级。
  • 优势:相比手动测试耗时数天,PentAGI 可在数小时内完成,节省人力成本。

安全研究

  • 场景:研究者探索某新兴威胁(如零日漏洞)。
  • 应用:利用外部搜索 API 和 Web 爬虫,PentAGI 收集相关情报并测试目标系统。
  • 优势:情报收集与测试无缝衔接,研究效率翻倍。

教育培训

  • 场景:学生学习渗透测试基础。
  • 应用:在虚拟机上运行 PentAGI,输入测试靶场地址,观察 Nmap 扫描和 Metasploit 利用过程。
  • 优势:直观 UI 和自动化流程降低学习门槛。

开发集成

  • 场景:DevSecOps 团队需将测试嵌入 CI/CD 管道。
  • 应用:通过 REST API 调用 PentAGI,获取测试结果并反馈到工作流。
  • 优势:支持自托管和 API,完美融入现有系统。

核心优势

  • 高效性:自动化与多代理协作大幅缩短测试周期。
  • 安全性:Docker 隔离和自托管设计保护本地环境与数据。
  • 灵活性:支持多种配置(如 LLM、搜索 API),适配不同需求。
  • 实用性:专业工具和详细报告直接解决实际问题。

五、总结

PentAGI 凭借全面的功能、强大的特点和灵活的部署方式,为渗透测试带来革新体验。无论是快速评估系统安全,还是深入研究攻击手法,它都能提供强力支持。还在为繁琐测试发愁?立即访问 GitHub(GitHub 链接),部署 PentAGI,解锁自动化测试的未来!

Loading comments...
Crossbell Logo
Crossbell Chain
Ipfs Logo
IPFS
Source
Post on xlog