开源AI渗入测试工具Z3r0部署与使用
2026-07-03
因数据安全等6项违规,中国银行孝感市分行被罚436万元!
2026-07-03
w66利来参编|GA/T 2390-2026《信息安全技术 数据脱敏产品安全技术要求》正式执行
2026-07-01
工信部等八部门结合印发《关于推动工业互联网高质量发展的执行定见》
2026-07-01
《网络数据安全风险评估法子》沉点内容解读
2026-06-30
存储域
数据库加密 诺亚防勒索接见域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中央件运维服务 国产信创刷新服务 驻场运维服务 供数服务安全征询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理征询服务 数据分类分级征询服务 幼我信息风险评估服务 数据安全查抄服务
mkdir pentagi && cd pentagi

下载并沉定名配置文件
curl -o .envhttps://raw.githubusercontent.com/vxcontrol/pentagi/master/.env.example

编纂.env文件,填入自己的大模型apikey,这里使用的是deepseek大模型
vim .env
重要是对Custom LLM provider配置项进行批改
LLM_SERVER_URL=https://api.deepseek.com/v1
LLM_SERVER_KEY=sk-xxxxxx
LLM_SERVER_MODEL=deepseek-reasoner
LLM_SERVER_CONFIG_PATH=
LLM_SERVER_LEGACY_REASONING=

下载docker-compose.yml文件,拉取并启动docker镜像
curl -Ohttps://raw.githubusercontent.com/vxcontrol/pentagi/master/docker-compose.yml
docker-compose up -d

最后接见https://ip:8443/,而后使用初始账号密码admin@pentagi.com/admin登录即可。


提醒词为
“助我对http://xx.xx.xx.xx:8765/这个系统进行渗入测试,找出尽可能多的可利用缝隙,并输出具体的渗入测试汇报”。
能够看到PentAGI会把工作宰割为一个个子工作,而后针对每个子工作自动下载相应的安全工具进行测试。如nmap、sqlmap等。

当前阶段的子工作实现后会输出当前子工作的成就信息,并开启下一阶段的子工作。同时会凭据该阶段的成就对后续的子工作进行自动化持续优化。

好比在SQL注入测试子工作中,PentAGI能够正确的凭据上一阶段目录扫描以及在线知识库搜索的了局,鉴别出潜在的sql注入URL和参数,并挪用sqlmap号令进行测试。

在Terminal
从上述过程来看PentAGI似乎是一个比力“可用”的AI自动化渗入测试平台,但是在持续期待测试的过程中,PentAGI的一些弊端也露出了出来,一个是测试的过程极度漫长,由于PentAGI是使用配置大模型API key的方式全自动运行,支持openai、deepseek等主流LLM大模型,过程中不必要人为染指,会不休自动调整,所以比力依赖于大模型自身的响应速度。
如下图能够看到,前5个子工作从下午16时35分一向执行到了晚上的22时26分,耗时将近6个幼时。
另一个弊端就是如上图所示,发此刻运行到第6个子工作时就终止了,这其实是由于测试使用的deepseek api额度耗尽了。所以PentAGI的另一个缺点就是极度耗tokens,本次测试前在deepseek账户中充值了15元,发此刻执行完5个子工作后,api额度已经用尽。
总结
通过上述的使用过程发现,PentAGI的自动化水平比此前测试的HexStrike-AI要高好多,部署搭建过程也极度便捷,从阶段工作测试了局看来也比HexStrike-AI要好不少。PentAGI分歧于HexStrike-AI的服务端客户端分隔的模式,而是统一集成在一个Web平台中,使用过程单一,了局展示直观,是一个比力“可用”的AI自动化渗入测试平台,具备肯定的贸易化远景。但是PentAGI的缺点也比力显著,一个是自动化水平高带来过程的染指难题,整个渗入的过程都交给AI自动决策,无法进行人为调整,耗时较长;另一个是成本较高,比力适合在占有本地自建大模型的前提下进行使用。