Being towards death

PentAGI：一鍵解鎖滲透測試新境界！#

PentAGI（GitHub 連結），一款由 [1] VXControl 團隊打造的開源工具，憑藉自動化、智能化的設計，為安全測試注入全新活力，相較於之前公眾號推薦的自動化滲透測試新思路：基於 AI 的攻擊路徑規劃與漏洞利用這個文章裡面提到的 AI 滲透測試工具，已經實現了完全自主的 AI 代理，使用終端、瀏覽器、編輯器和外部搜索系統執行複雜的滲透測試任務等功能。

一、PentAGI 的核心特點#

PentAGI 的設計兼顧安全、高效與靈活，簡潔呈現：

• 安全隔離：Docker 沙箱運行，確保測試零風險。
• 全自主性：AI 代理自動規劃並執行測試步驟。
• 專業工具：集成 20+ 安全利器，如 Nmap、Metasploit、SQLmap。
• 智能記憶：長期存儲測試結果與成功策略，持續優化。
• Web 情報：內置爬蟲實時收集網絡信息。
• 外部搜索：支持 Tavily、Traversaal、Google Custom Search API，情報更全面。
• 團隊協作：多 AI 代理分工，覆蓋研究、開發和基礎設施任務。
• 全面監控：集成 Grafana/Prometheus，實時掌握系統狀態。
• 詳細報告：生成漏洞報告，附帶利用指南。
• 容器管理：自動選擇任務所需 Docker 鏡像。
• 現代界面：直觀 Web UI，操作更簡單。
• API 支持：提供 REST 和 GraphQL 接口，輕鬆集成外部系統。
• 持久存儲：PostgreSQL（帶 pgvector）保存所有命令和輸出。
• 可擴展架構：微服務設計，支持橫向擴展。
• 自托管：完全掌控部署和數據隱私。
• 靈活認證：兼容 OpenAI、Anthropic 等 LLM 提供商及自定義配置。
• 快速部署：Docker Compose 一鍵啟動，省時省力。

這些特性讓 PentAGI 成為一款兼具深度與廣度的滲透測試工具。

二、功能概覽#

PentAGI 的功能覆蓋滲透測試全流程，README 中提到的核心能力不僅實用，還貼近實際需求：

• 自動化測試：只需輸入目標地址（如 example.com），PentAGI 就能自動完成端口掃描、漏洞探測甚至攻擊模擬，省去繁瑣的手動操作。
• 情報收集：內置爬蟲可抓取目標網站的公開信息，同時結合外部 API（如 Google 搜索）挖掘潛在弱點，例如發現未修補的 CVE。
• 報告生成：測試完成後，生成詳細報告，包括漏洞詳情、復現步驟和修復建議，方便用戶直接上手處理。
• 系統監控：通過 Grafana 儀表盤實時展示 CPU 使用率、測試進度等，集成 Loki 查看日誌，確保一切盡在掌控。
• 數據管理：所有操作記錄和輸出存儲在 PostgreSQL 中，支持後續分析或導出，特別適合長期項目。

PentAGI 部署指南#

PentAGI 面向安全專業人士、研究者和愛好者，採用 Go 語言開發後端，TypeScript 實現前端，結合 Docker 提供跨平台部署能力。README 提供了詳細的安裝指南，步驟清晰：

1. 環境準備#

• 系統要求：Docker、Docker Compose。
• 硬體需求：至少 4GB RAM，10GB 磁碟空間，連網狀態以下載鏡像。

2. 快速部署#

mkdir pentagi && cd pentagi
curl -o .env https://raw.githubusercontent.com/vxcontrol/pentagi/master/.env.example

# 必填：至少有一個 LLM 提供商
OPEN_AI_KEY=你的openai密鑰
ANTHROPIC_API_KEY=你的ANTHROPIC密鑰

# 可選：附加搜索功能
GOOGLE_API_KEY=你的 Google 密鑰
GOOGLE_CX_KEY=你的 Google_cx
TAVILY_API_KEY=你的 tavily_key
TRAVERSAAL_API_KEY=你的traversaal_key

curl -O https://raw.githubusercontent.com/vxcontrol/pentagi/master/docker-compose.yml

1. 編輯 .env 文件，填入至少一個 LLM 密鑰（如 OPEN_AI_KEY=your_key）。

2. 運行以下命令：

   Copy

   docker compose up -d
   

3. 訪問與使用#

• 打開瀏覽器，訪問 localhost:8443。
• 默認登錄：[email protected] / admin。
• 初次使用可嘗試輸入本地測試目標，觀察自動化流程。

4. 進階選項#

• 監控集成：下載 docker-compose-observability.yml，運行以下命令：

  Copy

  docker compose -f docker-compose.yml -f docker-compose-observability.yml up -d
  

  訪問 localhost:3000 查看 Grafana。

• Langfuse 支持：配置 LANGFUSE_BASE_URL 等變量，啟用 AI 行為分析。

• 視頻指引：官方提供概覽視頻（PentAGI Overview Video），幫助新手快速上手。

PentAGI 的部署過程簡單，即使是 Docker 初學者也能在幾分鐘內完成。

四、使用場景與優勢#

PentAGI 的設計使其在多種場景中表現出色，以下是具體應用及帶來的獨特優勢：

企業安全評估#

• 場景：某公司需檢查內部 Web 應用的安全性。
• 應用：輸入應用 URL，PentAGI 自動運行 SQLmap 檢測注入漏洞，並生成報告，指出修復優先級。
• 優勢：相比手動測試耗時數天，PentAGI 可在數小時內完成，節省人力成本。

安全研究#

• 場景：研究者探索某新興威脅（如零日漏洞）。
• 應用：利用外部搜索 API 和 Web 爬蟲，PentAGI 收集相關情報並測試目標系統。
• 優勢：情報收集與測試無縫銜接，研究效率翻倍。

教育培訓#

• 場景：學生學習滲透測試基礎。
• 應用：在虛擬機上運行 PentAGI，輸入測試靶場地址，觀察 Nmap 掃描和 Metasploit 利用過程。
• 優勢：直觀 UI 和自動化流程降低學習門檻。

開發集成#

• 場景：DevSecOps 團隊需將測試嵌入 CI/CD 管道。
• 應用：通過 REST API 調用 PentAGI，獲取測試結果並反饋到工作流。
• 優勢：支持自托管和 API，完美融入現有系統。

核心優勢#

• 高效性：自動化與多代理協作大幅縮短測試週期。
• 安全性：Docker 隔離和自托管設計保護本地環境與數據。
• 靈活性：支持多種配置（如 LLM、搜索 API），適配不同需求。
• 實用性：專業工具和詳細報告直接解決實際問題。

五、總結#

PentAGI 憑藉全面的功能、強大的特點和靈活的部署方式，為滲透測試帶來革新體驗。無論是快速評估系統安全，還是深入研究攻擊手法，它都能提供強力支持。還在為繁瑣測試發愁？立即訪問 GitHub（GitHub 連結），部署 PentAGI，解鎖自動化測試的未來！