PentestAgent–集成了预置攻击剧本和HexStrike的AI渗透测试工具

admin
admin
admin
0
文章
0
评论
2026-03-03 09:14:59 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: PentestAgent是一款开源AI渗透测试框架,集成了预置攻击剧本与HexStrike。该工具利用大语言模型进行黑盒安全评估,支持辅助聊天、自主代理及多代理协同三种模式。其通过TUI界面运行,具备结构化工作流程与RAG知识注入能力,并能构建影子图辅助决策。环境部署支持Python和Docker,内置常用渗透工具,近期更新优化了HexStrike集成与稳定性,为渗透测试人员提供了高效的AI辅助解决方案。 综合评分: 85 文章分类: 渗透测试,安全工具,AI安全

cover_image

PentestAgent – 集成了预置攻击剧本和 HexStrike 的 AI 渗透测试工具

暗镜

2026年2月15日 12:50 辽宁

PentestAgent 是开发者 Masic (GH05TCREW) 开发的开源 AI 代理框架,它引入了增强的功能,包括预构建的攻击剧本和无缝的HexStrike 集成。

该工具由化名为 GH05TCREW 的研究人员在 GitHub 上发布,它利用 LiteLLM 等大型语言模型 (LLM)(例如 Claude Sonnet 或 GPT-5)进行复杂的黑盒安全评估。

PentestAgent 通过终端用户界面 (TUI) 运行,提供辅助聊天、自主代理和多代理团队等模式,方便希望在不牺牲控制权的前提下增强人工智能功能的渗透测试

PentestAgent 的优势在于其结构化的攻击剧本,以及预定义的 Web 应用程序测试工作流程,例如 THP3 风格的评估。用户可以通过 CLI 启动它们:pentestagent run -t example.com --playbook thp3_web

这些剧本指导人工智能完成侦察、漏洞扫描和利用阶段,并从检索增强生成 (RAG) 系统注入特定领域的知识。

在 Crew 模式下,会话期间记录的笔记(分为凭证、漏洞、发现或工件)会保留loot/notes.json并用于构建“影子图”,其中协调者会生成专门的工作人员以获取战略见解。

该工具支持三种操作模式,概述如下:

| 模式 | 命令 | 描述 | | — | — | — | | 协助 | (默认) | 交互式聊天;用户主导流程。 | | 代理人 | /agent <任务> | 自主执行单任务。 | | 全体人员 | /crew <任务> | 多智能体编排。 |

内置工具包括终端(用于nmap/target <host> 、sqlmap)、浏览器(通过 Playwright)、笔记和网络搜索(需要 Tavily API)。诸如tui/tools``&nbsp;/reporttuitui 和 Esc 停止等TUI 命令提供直观的控制,内存使用情况可通过 . 查看/memory

对于 Python 3.10 及更高版本的环境,设置非常简单。克隆仓库(git clone https://github.com/GH05TCREW/pentestagent.git),运行设置脚本(.\scripts\setup.ps1在 Windows 或./scripts/setup.shLinux/macOS 上),并.env使用 API 密钥(例如,ANTHROPIC_API_KEY=sk-ant-...PENTESTAGENT_MODEL=claude-sonnet-4-20250514)进行配置。通过安装 Chromium playwright install chromium

Docker 隔离提升了可用性:拉取预构建的镜像ghcr.io/gh05tcrew/pentestagent:kali(例如打包了 Metasploit、Hydra 的镜像)并运行docker run -it --rm -e ANTHROPIC_API_KEY=your-key ghcr.io/gh05tcrew/pentestagent:kali。本地构建使用docker compose

一项显著的更新是集成了 HexStrikethird_party/hexstrike ,该框架由GitHub提供。这个MCP(模型上下文协议)框架通过 公开了高级渗透测试工具,例如评分和工作流mcp_servers.json。用户可以通过 手动安装scripts/install_hexstrike_deps.sh,然后添加类似 的配置pentestagent mcp add nmap "npx" "-y" "gc-nmap-mcp"。CLI 管理(pentestagent tools listmcp test)确保了可扩展性。最近的 TUI 修复提高了长时间运行任务的稳定性。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 《PentestAgent – 集成了预置攻击剧本和 HexStrike 的 AI 渗透测试工具》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0