文章总结: PentAGI是一个全自主渗透测试AIAgent系统,采用Multi-Agent架构和三级监管机制,包含执行监控、智能任务规划和反射器自愈功能。它具备三层记忆系统和企业级可观测性,支持10多种LLMProvider和20多种安全工具,面向企业安全团队,工程化程度高但上手门槛也高。 综合评分: 85 文章分类: 渗透测试,红队,内网渗透,安全工具,AI安全
PentAGI:19k Star 的全自主渗透测试”人工通用智能”,这次他们把企业级可观测性也塞进去了
原创
JunYi JunYi
毅心安全
2026年7月9日 15:04 广东
在小说阅读器读本章
去阅读
作者:vxcontrol | 项目地址:github.com/vxcontrol/pentagi | ⭐ 18.9k Stars · 2.6k Forks
各位好,今天压轴介绍一个项目,是我们这个系列里 Star 数最高、技术栈最厚重的一个。
PentAGI——全称 Penetration testing Artificial General Intelligence。这个名字本身就在宣示一种野心:不是”AI 辅助渗透工具”,而是”渗透测试领域的人工通用智能”。
俄罗斯安全团队 vxcontrol 出品,Go 后端 + React 前端,MIT 开源。和我们之前介绍的 Decepticon、AutoCVE、Flounder 相比,PentAGI 的定位更接近一个企业级平台——它不只是一个 Agent 脚本,而是一个带有完整监控栈、LLM 可观测性平台、知识图谱、三层记忆系统的完整系统工程。
架构图
测试效果图
先说清楚它是什么
一个完全自主的 AI Agent 系统,能独立执行复杂的渗透测试任务。你给它一个目标和任务描述,它自行规划、自行调用工具、自行分析结果、自行调整策略,最终生成包含漏洞详情和利用指南的完整报告。
官方定位:
Fully autonomous AI Agents system capable of performing complex penetration testing tasks.
“复杂”这个词在这里是有具体含义的——不是单步工具调用,而是多阶段、多 Agent 协作的完整攻击链。信息收集→漏洞发现→PoC 验证→后渗透→报告生成,每个阶段都有专职 Agent 负责。
Multi-Agent 架构:每个角色只做一件事
PentAGI 的核心是一套专项化 Multi-Agent 系统,Orchestrator 作为总指挥,下辖多个专职 Agent:
Researcher(研究员):信息收集和情报分析专职。通过内置浏览器、7 个搜索引擎接口(Tavily、Traversaal、Perplexity、DuckDuckGo、Google、Sploitus、Searxng)收集目标情报。
Developer(开发者):编写攻击脚本、编码工具、处理代码逻辑专职。当内置工具不够用时,由 Developer 现场写脚本。
Pentester(渗透员):攻击执行专职,调用 20+ 安全工具直接操作目标。
Installer(部署员):环境准备专职,自动选择合适的 Docker 镜像并配置工具执行环境。
Adviser + Reflector(顾问+反思者):这两个是整个架构里最有工程价值的角色,后面单独展开说。
三级 Agent 监管机制:这是 PentAGI 最有工程价值的设计
这是 PentAGI 相比同类项目差异化最明显的部分,直接决定了 AI 在真实复杂任务中的完成质量。
第一级:Execution Monitor(执行监控器)
这是一个 beta 功能,但测试数据非常说明问题。
问题背景:AI Agent 在执行长任务时有一个经典问题——陷入循环。比如 nmap 扫了一遍没发现什么有价值的端口,Agent 反复运行同样的 nmap 命令;或者尝试一种利用方式失败了,却在同一个方向上死磕 10 次,不知道换策略。这在真实渗透测试中非常浪费资源,也是大多数 AI 渗透工具的共同痛点。
Execution Monitor 的解法:监控 Agent 的工具调用模式——如果同一个工具被调用了 5 次(阈值可配置)并且输出类似,或者总工具调用数超过 10 次(阈值可配置),自动触发 Adviser(顾问)Agent 介入。
Adviser 分析当前执行状态,判断是否在循环,是否取得进展,然后在工具响应里追加一段 <mentor_analysis> 分析——建议换思路、建议搜索已有方案、建议尝试不同的攻击向量。
实测数据:基于 Qwen3.5-27B-FP8 的测试,启用 Execution Monitor 后:token 消耗增加 2-3 倍,执行时间增加 2-3 倍,但结果质量提升 2 倍。对于小于 32B 参数的模型,这个机制是”essential”(必须的),原话来自官方文档。
第二级:Intelligent Task Planning(智能任务规划)
同样是 beta 功能,解决的是另一个问题:Agent 在开始干活之前不够”想清楚”。
启用后,在每个专职 Agent 开始执行子任务之前,先触发 Planner Agent 生成一份 3-7 步的具体行动计划。这份计划通过 <task_assignment> 结构包装后给到执行 Agent,告诉它:先做什么、重点关注什么、哪些坑要避开、怎么验证完成。
效果是减少无效探索和 scope creep(任务跑偏),让 Agent 的每一步更有目的性。
这两个机制的组合设计有一个很聪明的地方:Adviser/Planner 可以配置比普通 Agent 更强的模型。比如普通 Agent 用 Qwen3.5-27B,Adviser 用同一个模型但开最高 reasoning 模式;或者 Adviser 用完全不同的更强模型,比如 Claude Opus 4.6 + extended thinking。这样整体 Token 消耗可控(因为 Adviser 只在需要时介入),但关键决策质量更高。
第三级:Tool Call Limiter + Reflector(硬上限 + 自愈)
Tool Call Limiter 是一道硬限制,防止失控:
- • 通用 Agent(Pentester、Coder 等):默认最多 100 次工具调用
- • 限制类 Agent(Searcher、Enricher、Reporter 等):默认最多 20 次
Reflector 是自愈机制:当 LLM 连续 3 次未能正确生成工具调用时,Reflector 分析失败原因,引导 Agent 恢复正常工具使用或优雅地用 done/ask 结束当前子任务。
三层记忆系统:不做一次性工具
大多数 AI 安全工具每次运行都是”无状态”的——本次渗透测试学到的东西,下次完全不记得。PentAGI 专门设计了三层记忆系统:
长期记忆(Long-term Memory):用 PostgreSQL + pgvector 存储向量化的知识和经验。每次成功的攻击路径、发现的漏洞模式、有效的工具参数配置,都以向量形式持久化。下次遇到类似目标,直接检索历史经验。
工作记忆(Working Memory):当前任务的上下文和目标状态,配合 Chain Summarization 机制管理 LLM 上下文窗口。这是一个精心设计的机制:随着对话越来越长,不是简单截断,而是将较早的对话分段压缩成摘要,保留最近 50KB 内容原样,中间的按 QA 对处理,整体长度超限时才压缩。这样 Agent 在长任务中不会因为上下文超限而”失忆”。
情节记忆(Episodic Memory):历史行动记录和成功模式库,类似”这个工具配合那个参数在某类目标上特别有效”这样的经验总结。
另外,PentAGI 还集成了 Graphiti 知识图谱(基于 Neo4j):自动从 Agent 的每次交互中提取结构化知识——工具关系、目标属性、漏洞关联、技术路径——构建一个可查询的安全知识图谱,支持”什么工具对类似目标有效”这类语义查询。
内置 20+ 专业安全工具
全部在 Docker 沙箱内隔离执行,主要包括:
网络扫描与发现:nmap(端口扫描/服务识别)、masscan(大规模扫描)
Web 安全测试:sqlmap(SQL 注入)、nikto(Web 扫描)、dirb/gobuster(目录爆破)、whatweb(指纹识别)
漏洞利用框架:Metasploit(完整 MSF 框架)
认证破解:hydra(密码爆破)
特色工具:隔离浏览器(scraper,用于安全的 Web 交互),以及多搜索引擎聚合(Sploitus 是专门搜索 Exploit 和安全工具的搜索引擎,是其他同类项目少有的集成)。
Smart Container Management 功能支持根据任务类型自动选择合适的 Docker 镜像,比如需要特定工具的任务会自动拉取对应的工具镜像。
企业级可观测性:这才是和其他工具最大的区分
这一部分是 PentAGI 最”重”的地方,也是面向企业用户的核心卖点。
监控栈(通过 docker-compose-observability.yml 启动): OpenTelemetry 作为统一的遥测数据收集层,数据流向 VictoriaMetrics(时序指标)、Jaeger(分布式链路追踪)、Loki(日志聚合),统一在 Grafana Dashboard 展示。你可以看到每个 Agent 的执行时间、工具调用耗时、系统资源占用,精确定位性能瓶颈。
LLM 分析平台(通过 docker-compose-langfuse.yml 启动):接入 Langfuse,使用 ClickHouse 存储 LLM 调用数据,配合 Redis 缓存和 MinIO 对象存储。你可以追踪每次 LLM 调用的 prompt、输出、Token 消耗、延迟,精确统计每次渗透任务的实际 AI 成本。
这两套系统对个人研究员来说可能是负担,但对企业安全团队来说是必须的——没有这些数据,你无法评估 AI 渗透的实际效果和成本,也无法向管理层汇报。
支持 10+ LLM Provider,国产模型全覆盖
这是 PentAGI 在 LLM 支持上的完整覆盖:
国际主流:OpenAI(GPT-4.1/o3/o4-mini/GPT-5.x 系列)、Anthropic Claude(含 claude-opus-4-6/sonnet-4-6)、Google Gemini(含 Gemini 3.1 系列)、AWS Bedrock(20+ 基础模型)
国产大模型:DeepSeek(deepseek-chat/reasoner)、智谱 GLM(GLM-5/4.7 系列)、月之暗面 Kimi(kimi-k2.5)、阿里 Qwen(32 个 Qwen 模型,覆盖 Qwen3/3.5/2.5 全系列)
本地部署:Ollama + 任意本地模型;官方还提供了 vLLM + Qwen3.5-27B-FP8 的完整部署指南,在 4× RTX 5090 上可以达到 13,000 TPS prompt 处理速度,支持 12+ 并发 Flow,完全离线运行。
模型路由:不同 Agent 类型可以配置不同的模型——Orchestrator 用强模型,Searcher 用轻量快速模型,Adviser 用最强推理模型。通过 YAML 配置文件精细控制,Token 消耗和质量之间可以灵活权衡。
REST + GraphQL 双 API:真正的自动化平台接口
这是面向 DevSecOps 集成场景设计的。
bash
# GraphQL 创建渗透测试任务
curl -X POST https://your-pentagi:8443/api/v1/graphql \
-H "Authorization: Bearer YOUR_API_TOKEN" \
-H "Content-Type: application/json" \
-d '{"query": "mutation { createFlow(modelProvider: \"anthropic\", input: \"Pentest https://target.example.com\") { id title status } }"}'
Python SDK 示例官方直接提供,TypeScript 也有完整示例。你可以把 PentAGI 的渗透测试能力集成进 CI/CD 流水线,新代码部署后自动触发一轮安全评估。
API Token 通过 Web UI 生成,支持设置有效期(最长 3 年),每个 Token 有独立的权限范围。
快速部署:交互式安装器,10 分钟上手
推荐方式:下载安装器(有 TUI 交互界面)
mkdir -p pentagi && cd pentagi
wget -O installer.zip https://pentagi.com/downloads/linux/amd64/installer-latest.zip
unzip installer.zip
sudo ./installer
安装器会引导你完成:系统检查 → LLM Provider 配置 → 搜索引擎配置 → SSL 证书生成 → Docker Compose 启动。整个过程有终端 UI,不需要手动编辑配置文件。
手动方式(适合二次开发):
curl -o .env https://raw.githubusercontent.com/vxcontrol/pentagi/master/.env.example
# 填写 API Key
curl -O https://raw.githubusercontent.com/vxcontrol/pentagi/master/docker-compose.yml
docker compose up -d
访问 https://localhost:8443,默认账户 [email protected] / admin。
生产环境建议:双节点部署(主服务器 + 独立 Worker 节点),Worker 节点负责沙箱容器执行,网络隔离,支持 OOB 带外攻击技术。
和同系列项目横向对比
这个系列我们介绍过 Xalgorix、ASTER、Decepticon、AutoCVE、Flounder……PentAGI 在几个维度上是不同量级的:
工程化程度:PentAGI 是目前这个方向上工程化程度最高的。三层记忆 + 知识图谱 + 链压缩 + 三级监管 + 完整可观测性,这不是几天写出来的东西。
企业级定位:其他项目大多面向个人研究员或小团队,PentAGI 的监控栈、多租户 API、双节点生产部署,明确面向企业安全团队。
技术栈完整性:Go 后端 + React 前端 + PostgreSQL + pgvector + Neo4j + VictoriaMetrics + Jaeger + Loki + Langfuse + ClickHouse……这个栈的组合放在任何生产系统里都不寒碜。
不足:正因为如此完整,上手门槛也最高。完整部署需要运行 6-7 个 Docker Compose 文件(主服务、Langfuse、Graphiti、可观测性),配置项复杂。对于只想”一条命令跑个渗透”的个人用户,Decepticon 或 Xalgorix 可能更适合。
适合谁用
企业安全团队:需要可观测性、审计日志、LLM 成本追踪、API 集成的组织,PentAGI 是目前开源里选择最完整的。
安全平台开发者:想在自己的安全平台里集成 AI 渗透能力,REST+GraphQL 双 API 直接用,省去自研底层的成本。
开源本地部署场景:vLLM + Qwen3.5-27B-FP8 的完整本地方案让整个系统可以在离网环境运行,对数据安全要求严格的客户是重要的卖点。
安全研究员学习 AI Agent 工程:PentAGI 的 Chain Summarization、三级监管、Execution Monitor 的实现,是目前开源里最值得深读的 AI Agent 工程参考之一。
综合评价
亮点:工程化程度业界领先,三级监管机制有真实数据支撑(2x 质量提升),三层记忆 + 知识图谱让系统具备了真正的学习能力,双 API + SDK 的集成友好度极高,10+ LLM Provider 覆盖全面且配置精细,国产模型支持深度超出预期(Qwen 32 个模型),可观测性栈企业级完整。
需要注意:部署复杂,完整配置需要较多时间;20+ 工具的安全审计需求在生产环境中要认真对待;三级监管 Token 消耗增加 2-3 倍,生产成本需要规划;MIT 协议商业友好,但使用时需遵守 EULA 和 NOTICE 里的附加条款。
一句话定位:PentAGI 是目前开源 AI 自主渗透测试领域技术最全面、工程最成熟的平台,它想解决的不是”AI 能否做渗透测试”,而是”AI 渗透测试如何在生产环境里可靠运行、可量化、可审计”。
⚠️ 渗透测试工具只能用于已获得明确书面授权的系统。未授权的渗透测试行为违法。PentAGI 内置的多工具套件威力强大,请在受控的隔离网络环境中进行测试,并确保完全理解每个工具的行为边界。
觉得这个系列有价值的话点个在看,我们继续追踪 AI 安全工具链的最新进展。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:毅心安全 JunYi JunYi《PentAGI:19k Star 的全自主渗透测试”人工通用智能”,这次他们把企业级可观测性也塞进去了》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论