Being towards death

PentAGI：一键解锁渗透测试新境界！#

PentAGI（GitHub 链接），一款由 [1] VXControl 团队打造的开源工具，凭借自动化、智能化的设计，为安全测试注入全新活力，相较于之前公众号推荐的自动化渗透测试新思路：基于 AI 的攻击路径规划与漏洞利用这个文章里面提到的 AI 渗透测试工具，已经实现了完全自主的 AI 代理，使用终端、浏览器、编辑器和外部搜索系统执行复杂的渗透测试任务等功能。

一、PentAGI 的核心特点#

PentAGI 的设计兼顾安全、高效与灵活，简洁呈现：

• 安全隔离：Docker 沙箱运行，确保测试零风险。
• 全自主性：AI 代理自动规划并执行测试步骤。
• 专业工具：集成 20+ 安全利器，如 Nmap、Metasploit、SQLmap。
• 智能记忆：长期存储测试结果与成功策略，持续优化。
• Web 情报：内置爬虫实时收集网络信息。
• 外部搜索：支持 Tavily、Traversaal、Google Custom Search API，情报更全面。
• 团队协作：多 AI 代理分工，覆盖研究、开发和基础设施任务。
• 全面监控：集成 Grafana/Prometheus，实时掌握系统状态。
• 详细报告：生成漏洞报告，附带利用指南。
• 容器管理：自动选择任务所需 Docker 镜像。
• 现代界面：直观 Web UI，操作更简单。
• API 支持：提供 REST 和 GraphQL 接口，轻松集成外部系统。
• 持久存储：PostgreSQL（带 pgvector）保存所有命令和输出。
• 可扩展架构：微服务设计，支持横向扩展。
• 自托管：完全掌控部署和数据隐私。
• 灵活认证：兼容 OpenAI、Anthropic 等 LLM 提供商及自定义配置。
• 快速部署：Docker Compose 一键启动，省时省力。

这些特性让 PentAGI 成为一款兼具深度与广度的渗透测试工具。

二、功能概览#

PentAGI 的功能覆盖渗透测试全流程，README 中提到的核心能力不仅实用，还贴近实际需求：

• 自动化测试：只需输入目标地址（如 example.com），PentAGI 就能自动完成端口扫描、漏洞探测甚至攻击模拟，省去繁琐的手动操作。
• 情报收集：内置爬虫可抓取目标网站的公开信息，同时结合外部 API（如 Google 搜索）挖掘潜在弱点，例如发现未修补的 CVE。
• 报告生成：测试完成后，生成详细报告，包括漏洞详情、复现步骤和修复建议，方便用户直接上手处理。
• 系统监控：通过 Grafana 仪表盘实时展示 CPU 使用率、测试进度等，集成 Loki 查看日志，确保一切尽在掌控。
• 数据管理：所有操作记录和输出存储在 PostgreSQL 中，支持后续分析或导出，特别适合长期项目。

PentAGI 部署指南#

PentAGI 面向安全专业人士、研究者和爱好者，采用 Go 语言开发后端，TypeScript 实现前端，结合 Docker 提供跨平台部署能力。README 提供了详细的安装指南，步骤清晰：

1. 环境准备#

• 系统要求：Docker、Docker Compose。
• 硬件需求：至少 4GB RAM，10GB 磁盘空间，联网状态以下载镜像。

2. 快速部署#

mkdir pentagi && cd pentagi
curl -o .env https://raw.githubusercontent.com/vxcontrol/pentagi/master/.env.example

# 必填：至少有一个 LLM 提供商
OPEN_AI_KEY=你的openai密钥
ANTHROPIC_API_KEY=你的ANTHROPIC密钥

# 可选：附加搜索功能
GOOGLE_API_KEY=你的 Google 密钥
GOOGLE_CX_KEY=你的 Google_cx
TAVILY_API_KEY=你的 tavily_key
TRAVERSAAL_API_KEY=你的traversaal_key

curl -O https://raw.githubusercontent.com/vxcontrol/pentagi/master/docker-compose.yml

1. 编辑 .env 文件，填入至少一个 LLM 密钥（如 OPEN_AI_KEY=your_key）。

2. 运行以下命令：

   Copy

   docker compose up -d
   

3. 访问与使用#

• 打开浏览器，访问 localhost:8443。
• 默认登录：[email protected] / admin。
• 初次使用可尝试输入本地测试目标，观察自动化流程。

4. 进阶选项#

• 监控集成：下载 docker-compose-observability.yml，运行以下命令：

  Copy

  docker compose -f docker-compose.yml -f docker-compose-observability.yml up -d
  

  访问 localhost:3000 查看 Grafana。

• Langfuse 支持：配置 LANGFUSE_BASE_URL 等变量，启用 AI 行为分析。

• 视频指引：官方提供概览视频（PentAGI Overview Video），帮助新手快速上手。

PentAGI 的部署过程简单，即使是 Docker 初学者也能在几分钟内完成。

四、使用场景与优势#

PentAGI 的设计使其在多种场景中表现出色，以下是具体应用及带来的独特优势：

企业安全评估#

• 场景：某公司需检查内部 Web 应用的安全性。
• 应用：输入应用 URL，PentAGI 自动运行 SQLmap 检测注入漏洞，并生成报告，指出修复优先级。
• 优势：相比手动测试耗时数天，PentAGI 可在数小时内完成，节省人力成本。

安全研究#

• 场景：研究者探索某新兴威胁（如零日漏洞）。
• 应用：利用外部搜索 API 和 Web 爬虫，PentAGI 收集相关情报并测试目标系统。
• 优势：情报收集与测试无缝衔接，研究效率翻倍。

教育培训#

• 场景：学生学习渗透测试基础。
• 应用：在虚拟机上运行 PentAGI，输入测试靶场地址，观察 Nmap 扫描和 Metasploit 利用过程。
• 优势：直观 UI 和自动化流程降低学习门槛。

开发集成#

• 场景：DevSecOps 团队需将测试嵌入 CI/CD 管道。
• 应用：通过 REST API 调用 PentAGI，获取测试结果并反馈到工作流。
• 优势：支持自托管和 API，完美融入现有系统。

核心优势#

• 高效性：自动化与多代理协作大幅缩短测试周期。
• 安全性：Docker 隔离和自托管设计保护本地环境与数据。
• 灵活性：支持多种配置（如 LLM、搜索 API），适配不同需求。
• 实用性：专业工具和详细报告直接解决实际问题。

五、总结#

PentAGI 凭借全面的功能、强大的特点和灵活的部署方式，为渗透测试带来革新体验。无论是快速评估系统安全，还是深入研究攻击手法，它都能提供强力支持。还在为繁琐测试发愁？立即访问 GitHub（GitHub 链接），部署 PentAGI，解锁自动化测试的未来！