1、PentAGI介紹
PentAGI 是一款由vxcontrol團隊開發的創新自動化安全測試工具,具備自動化和智能化的特點。PentAGI具備安全隔離、全自主性、集成多種安全工具、智能記憶、實時情報收集、團隊協作和詳細報告生成等。且部署過程簡單,適合安全專業人士和研究者,能夠在多種場景中高效應用,如企業安全評估、安全研究、教育培訓和開發集成。PentAGI 提供靈活的配置和強大的功能,極大地提升了滲透測試的效率和安全性。PentAGI的核心能力如下圖所示:
2、PentAGI本地搭建
PentAGI的官網地址為
https://pentagi.com/
其github代碼倉庫地址為
https://github.com/vxcontrol/pentagi
可以從上述途徑中獲取PentAGI的官方問題以及最新資訊
PentAGI的安裝比較簡單,可以使用docker方便的進行拉取部署,其安裝部署的軟硬件環境要求如下:
1、Docker 和 Docker Compose
2、最低 4GB RAM
3、10GB可用磁盤空間
4、可以訪問互聯網以下載鏡像和更新
首先創建一個工作目錄
mkdir pentagi && cd pentagi
下載并重命名配置文件
curl -o .envhttps://raw.githubusercontent.com/vxcontrol/pentagi/master/.env.example
編輯.env文件,填入自己的大模型apikey,這里使用的是deepseek大模型
vim .env
主要是對Custom LLM provider配置項進行修改
LLM_SERVER_URL=https://api.deepseek.com/v1
LLM_SERVER_KEY=sk-xxxxxx
LLM_SERVER_MODEL=deepseek-reasoner
LLM_SERVER_CONFIG_PATH=
LLM_SERVER_LEGACY_REASONING=
下載docker-compose.yml文件,拉取并啟動docker鏡像
curl -Ohttps://raw.githubusercontent.com/vxcontrol/pentagi/master/docker-compose.yml
docker-compose up -d
最后訪問https://ip:8443/,然后使用初始賬號密碼admin@pentagi.com/admin登錄即可。
3、PentAGI自動化滲透測試
首先部署一個Pikachu靶場系統,嘗試使用PentAGI對Pikachu靶場進行自動化滲透測試并輸出報告。
提示詞為
“幫我對http://xx.xx.xx.xx:8765/這個系統進行滲透測試,找出盡可能多的可利用漏洞,并輸出詳細的滲透測試報告”。
可以看到PentAGI會把任務分割為一個個子任務,然后針對每個子任務自動下載相應的安全工具進行測試。如nmap、sqlmap等。
當前階段的子任務完成后會輸出當前子任務的成果信息,并開啟下一階段的子任務。同時會根據該階段的成果對后續的子任務進行自動化持續優化。
比如在SQL注入測試子任務中,PentAGI可以正確的根據上一階段目錄掃描以及在線知識庫搜索的結果,識別出潛在的sql注入URL和參數,并調用sqlmap命令進行測試。
在Terminal窗口中可以看到PentAGI為了完成任務而執行的命令。
Screenshots窗口則可以看到在運行過程中調用瀏覽器進行網頁搜索的一些截圖。
從上述過程來看PentAGI似乎是一個比較“可用”的AI自動化滲透測試平臺,但是在繼續等待測試的過程中,PentAGI的一些缺點也暴露了出來,一個是測試的過程非常漫長,因為PentAGI是使用配置大模型API key的方式全自動運行,支持openai、deepseek等主流LLM大模型,過程中不需要人工介入,會不斷自動調整,所以比較依賴于大模型本身的響應速度。
如下圖可以看到,前5個子任務從下午16時35分一直執行到了晚上的22時26分,耗時將近6個小時。
另一個缺點就是如上圖所示,發現在運行到第6個子任務時就終止了,這其實是因為測試使用的deepseek api額度耗盡了。所以PentAGI的另一個缺陷就是非常耗tokens,本次測試前在deepseek賬戶中充值了15元,發現在執行完5個子任務后,api額度已經用盡。
總結
通過上述的使用過程發現,PentAGI的自動化程度比此前測試的HexStrike-AI要高很多,部署搭建過程也非常便捷,從階段任務測試結果看來也比HexStrike-AI要好不少。PentAGI不同于HexStrike-AI的服務端客戶端分開的模式,而是統一集成在一個Web平臺中,使用過程簡單,結果展示直觀,是一個比較“可用”的AI自動化滲透測試平臺,具備一定的商業化前景。但是PentAGI的缺陷也比較明顯,一個是自動化程度高帶來過程的介入困難,整個滲透的過程都交給AI自動決策,無法進行人工調整,耗時較長;另一個是成本較高,比較適合在擁有本地自建大模型的前提下進行使用。
浙公網安備 33010502006954號 
