PentAGI:19kStar的全自主渗透测试”人工通用智能”,这次他们把企业级可观测性也塞进去了

admin 2026-07-10 06:14:14 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: PentAGI是一个全自主渗透测试AIAgent系统,采用Multi-Agent架构和三级监管机制,包含执行监控、智能任务规划和反射器自愈功能。它具备三层记忆系统和企业级可观测性,支持10多种LLMProvider和20多种安全工具,面向企业安全团队,工程化程度高但上手门槛也高。 综合评分: 85 文章分类: 渗透测试,红队,内网渗透,安全工具,AI安全


cover_image

PentAGI:19k Star 的全自主渗透测试”人工通用智能”,这次他们把企业级可观测性也塞进去了

原创

JunYi JunYi

毅心安全

2026年7月9日 15:04 广东

在小说阅读器读本章

去阅读

作者:vxcontrol | 项目地址:github.com/vxcontrol/pentagi | ⭐ 18.9k Stars · 2.6k Forks


各位好,今天压轴介绍一个项目,是我们这个系列里 Star 数最高、技术栈最厚重的一个。

PentAGI——全称 Penetration testing Artificial General Intelligence。这个名字本身就在宣示一种野心:不是”AI 辅助渗透工具”,而是”渗透测试领域的人工通用智能”。

俄罗斯安全团队 vxcontrol 出品,Go 后端 + React 前端,MIT 开源。和我们之前介绍的 Decepticon、AutoCVE、Flounder 相比,PentAGI 的定位更接近一个企业级平台——它不只是一个 Agent 脚本,而是一个带有完整监控栈、LLM 可观测性平台、知识图谱、三层记忆系统的完整系统工程。


架构图

测试效果图

先说清楚它是什么

一个完全自主的 AI Agent 系统,能独立执行复杂的渗透测试任务。你给它一个目标和任务描述,它自行规划、自行调用工具、自行分析结果、自行调整策略,最终生成包含漏洞详情和利用指南的完整报告。

官方定位:

Fully autonomous AI Agents system capable of performing complex penetration testing tasks.

“复杂”这个词在这里是有具体含义的——不是单步工具调用,而是多阶段、多 Agent 协作的完整攻击链。信息收集→漏洞发现→PoC 验证→后渗透→报告生成,每个阶段都有专职 Agent 负责。


Multi-Agent 架构:每个角色只做一件事

PentAGI 的核心是一套专项化 Multi-Agent 系统,Orchestrator 作为总指挥,下辖多个专职 Agent:

Researcher(研究员):信息收集和情报分析专职。通过内置浏览器、7 个搜索引擎接口(Tavily、Traversaal、Perplexity、DuckDuckGo、Google、Sploitus、Searxng)收集目标情报。

Developer(开发者):编写攻击脚本、编码工具、处理代码逻辑专职。当内置工具不够用时,由 Developer 现场写脚本。

Pentester(渗透员):攻击执行专职,调用 20+ 安全工具直接操作目标。

Installer(部署员):环境准备专职,自动选择合适的 Docker 镜像并配置工具执行环境。

Adviser + Reflector(顾问+反思者):这两个是整个架构里最有工程价值的角色,后面单独展开说。


三级 Agent 监管机制:这是 PentAGI 最有工程价值的设计

这是 PentAGI 相比同类项目差异化最明显的部分,直接决定了 AI 在真实复杂任务中的完成质量。

第一级:Execution Monitor(执行监控器)

这是一个 beta 功能,但测试数据非常说明问题。

问题背景:AI Agent 在执行长任务时有一个经典问题——陷入循环。比如 nmap 扫了一遍没发现什么有价值的端口,Agent 反复运行同样的 nmap 命令;或者尝试一种利用方式失败了,却在同一个方向上死磕 10 次,不知道换策略。这在真实渗透测试中非常浪费资源,也是大多数 AI 渗透工具的共同痛点。

Execution Monitor 的解法:监控 Agent 的工具调用模式——如果同一个工具被调用了 5 次(阈值可配置)并且输出类似,或者总工具调用数超过 10 次(阈值可配置),自动触发 Adviser(顾问)Agent 介入。

Adviser 分析当前执行状态,判断是否在循环,是否取得进展,然后在工具响应里追加一段 <mentor_analysis> 分析——建议换思路、建议搜索已有方案、建议尝试不同的攻击向量。

实测数据:基于 Qwen3.5-27B-FP8 的测试,启用 Execution Monitor 后:token 消耗增加 2-3 倍,执行时间增加 2-3 倍,但结果质量提升 2 倍。对于小于 32B 参数的模型,这个机制是”essential”(必须的),原话来自官方文档。

第二级:Intelligent Task Planning(智能任务规划)

同样是 beta 功能,解决的是另一个问题:Agent 在开始干活之前不够”想清楚”

启用后,在每个专职 Agent 开始执行子任务之前,先触发 Planner Agent 生成一份 3-7 步的具体行动计划。这份计划通过 <task_assignment> 结构包装后给到执行 Agent,告诉它:先做什么、重点关注什么、哪些坑要避开、怎么验证完成。

效果是减少无效探索和 scope creep(任务跑偏),让 Agent 的每一步更有目的性。

这两个机制的组合设计有一个很聪明的地方:Adviser/Planner 可以配置比普通 Agent 更强的模型。比如普通 Agent 用 Qwen3.5-27B,Adviser 用同一个模型但开最高 reasoning 模式;或者 Adviser 用完全不同的更强模型,比如 Claude Opus 4.6 + extended thinking。这样整体 Token 消耗可控(因为 Adviser 只在需要时介入),但关键决策质量更高。

第三级:Tool Call Limiter + Reflector(硬上限 + 自愈)

Tool Call Limiter 是一道硬限制,防止失控:

  • • 通用 Agent(Pentester、Coder 等):默认最多 100 次工具调用
  • • 限制类 Agent(Searcher、Enricher、Reporter 等):默认最多 20 次

Reflector 是自愈机制:当 LLM 连续 3 次未能正确生成工具调用时,Reflector 分析失败原因,引导 Agent 恢复正常工具使用或优雅地用 done/ask 结束当前子任务。


三层记忆系统:不做一次性工具

大多数 AI 安全工具每次运行都是”无状态”的——本次渗透测试学到的东西,下次完全不记得。PentAGI 专门设计了三层记忆系统:

长期记忆(Long-term Memory):用 PostgreSQL + pgvector 存储向量化的知识和经验。每次成功的攻击路径、发现的漏洞模式、有效的工具参数配置,都以向量形式持久化。下次遇到类似目标,直接检索历史经验。

工作记忆(Working Memory):当前任务的上下文和目标状态,配合 Chain Summarization 机制管理 LLM 上下文窗口。这是一个精心设计的机制:随着对话越来越长,不是简单截断,而是将较早的对话分段压缩成摘要,保留最近 50KB 内容原样,中间的按 QA 对处理,整体长度超限时才压缩。这样 Agent 在长任务中不会因为上下文超限而”失忆”。

情节记忆(Episodic Memory):历史行动记录和成功模式库,类似”这个工具配合那个参数在某类目标上特别有效”这样的经验总结。

另外,PentAGI 还集成了 Graphiti 知识图谱(基于 Neo4j):自动从 Agent 的每次交互中提取结构化知识——工具关系、目标属性、漏洞关联、技术路径——构建一个可查询的安全知识图谱,支持”什么工具对类似目标有效”这类语义查询。


内置 20+ 专业安全工具

全部在 Docker 沙箱内隔离执行,主要包括:

网络扫描与发现:nmap(端口扫描/服务识别)、masscan(大规模扫描)

Web 安全测试:sqlmap(SQL 注入)、nikto(Web 扫描)、dirb/gobuster(目录爆破)、whatweb(指纹识别)

漏洞利用框架:Metasploit(完整 MSF 框架)

认证破解:hydra(密码爆破)

特色工具:隔离浏览器(scraper,用于安全的 Web 交互),以及多搜索引擎聚合(Sploitus 是专门搜索 Exploit 和安全工具的搜索引擎,是其他同类项目少有的集成)。

Smart Container Management 功能支持根据任务类型自动选择合适的 Docker 镜像,比如需要特定工具的任务会自动拉取对应的工具镜像。


企业级可观测性:这才是和其他工具最大的区分

这一部分是 PentAGI 最”重”的地方,也是面向企业用户的核心卖点。

监控栈(通过 docker-compose-observability.yml 启动): OpenTelemetry 作为统一的遥测数据收集层,数据流向 VictoriaMetrics(时序指标)、Jaeger(分布式链路追踪)、Loki(日志聚合),统一在 Grafana Dashboard 展示。你可以看到每个 Agent 的执行时间、工具调用耗时、系统资源占用,精确定位性能瓶颈。

LLM 分析平台(通过 docker-compose-langfuse.yml 启动):接入 Langfuse,使用 ClickHouse 存储 LLM 调用数据,配合 Redis 缓存和 MinIO 对象存储。你可以追踪每次 LLM 调用的 prompt、输出、Token 消耗、延迟,精确统计每次渗透任务的实际 AI 成本。

这两套系统对个人研究员来说可能是负担,但对企业安全团队来说是必须的——没有这些数据,你无法评估 AI 渗透的实际效果和成本,也无法向管理层汇报。


支持 10+ LLM Provider,国产模型全覆盖

这是 PentAGI 在 LLM 支持上的完整覆盖:

国际主流:OpenAI(GPT-4.1/o3/o4-mini/GPT-5.x 系列)、Anthropic Claude(含 claude-opus-4-6/sonnet-4-6)、Google Gemini(含 Gemini 3.1 系列)、AWS Bedrock(20+ 基础模型)

国产大模型:DeepSeek(deepseek-chat/reasoner)、智谱 GLM(GLM-5/4.7 系列)、月之暗面 Kimi(kimi-k2.5)、阿里 Qwen(32 个 Qwen 模型,覆盖 Qwen3/3.5/2.5 全系列)

本地部署:Ollama + 任意本地模型;官方还提供了 vLLM + Qwen3.5-27B-FP8 的完整部署指南,在 4× RTX 5090 上可以达到 13,000 TPS prompt 处理速度,支持 12+ 并发 Flow,完全离线运行。

模型路由:不同 Agent 类型可以配置不同的模型——Orchestrator 用强模型,Searcher 用轻量快速模型,Adviser 用最强推理模型。通过 YAML 配置文件精细控制,Token 消耗和质量之间可以灵活权衡。


REST + GraphQL 双 API:真正的自动化平台接口

这是面向 DevSecOps 集成场景设计的。

bash

# GraphQL 创建渗透测试任务
curl -X POST https://your-pentagi:8443/api/v1/graphql \
&nbsp; -H&nbsp;"Authorization: Bearer YOUR_API_TOKEN"&nbsp;\
&nbsp; -H&nbsp;"Content-Type: application/json"&nbsp;\
&nbsp; -d&nbsp;'{"query": "mutation { createFlow(modelProvider: \"anthropic\", input: \"Pentest https://target.example.com\") { id title status } }"}'

Python SDK 示例官方直接提供,TypeScript 也有完整示例。你可以把 PentAGI 的渗透测试能力集成进 CI/CD 流水线,新代码部署后自动触发一轮安全评估。

API Token 通过 Web UI 生成,支持设置有效期(最长 3 年),每个 Token 有独立的权限范围。


快速部署:交互式安装器,10 分钟上手

推荐方式:下载安装器(有 TUI 交互界面)

mkdir&nbsp;-p pentagi &&&nbsp;cd&nbsp;pentagi
wget -O installer.zip https://pentagi.com/downloads/linux/amd64/installer-latest.zip
unzip installer.zip
sudo&nbsp;./installer

安装器会引导你完成:系统检查 → LLM Provider 配置 → 搜索引擎配置 → SSL 证书生成 → Docker Compose 启动。整个过程有终端 UI,不需要手动编辑配置文件。

手动方式(适合二次开发)

curl -o .env&nbsp;https://raw.githubusercontent.com/vxcontrol/pentagi/master/.env.example
# 填写 API Key
curl -O https://raw.githubusercontent.com/vxcontrol/pentagi/master/docker-compose.yml
docker compose up -d

访问 https://localhost:8443,默认账户 [email protected] / admin

生产环境建议:双节点部署(主服务器 + 独立 Worker 节点),Worker 节点负责沙箱容器执行,网络隔离,支持 OOB 带外攻击技术。


和同系列项目横向对比

这个系列我们介绍过 Xalgorix、ASTER、Decepticon、AutoCVE、Flounder……PentAGI 在几个维度上是不同量级的:

工程化程度:PentAGI 是目前这个方向上工程化程度最高的。三层记忆 + 知识图谱 + 链压缩 + 三级监管 + 完整可观测性,这不是几天写出来的东西。

企业级定位:其他项目大多面向个人研究员或小团队,PentAGI 的监控栈、多租户 API、双节点生产部署,明确面向企业安全团队。

技术栈完整性:Go 后端 + React 前端 + PostgreSQL + pgvector + Neo4j + VictoriaMetrics + Jaeger + Loki + Langfuse + ClickHouse……这个栈的组合放在任何生产系统里都不寒碜。

不足:正因为如此完整,上手门槛也最高。完整部署需要运行 6-7 个 Docker Compose 文件(主服务、Langfuse、Graphiti、可观测性),配置项复杂。对于只想”一条命令跑个渗透”的个人用户,Decepticon 或 Xalgorix 可能更适合。


适合谁用

企业安全团队:需要可观测性、审计日志、LLM 成本追踪、API 集成的组织,PentAGI 是目前开源里选择最完整的。

安全平台开发者:想在自己的安全平台里集成 AI 渗透能力,REST+GraphQL 双 API 直接用,省去自研底层的成本。

开源本地部署场景:vLLM + Qwen3.5-27B-FP8 的完整本地方案让整个系统可以在离网环境运行,对数据安全要求严格的客户是重要的卖点。

安全研究员学习 AI Agent 工程:PentAGI 的 Chain Summarization、三级监管、Execution Monitor 的实现,是目前开源里最值得深读的 AI Agent 工程参考之一。


综合评价

亮点:工程化程度业界领先,三级监管机制有真实数据支撑(2x 质量提升),三层记忆 + 知识图谱让系统具备了真正的学习能力,双 API + SDK 的集成友好度极高,10+ LLM Provider 覆盖全面且配置精细,国产模型支持深度超出预期(Qwen 32 个模型),可观测性栈企业级完整。

需要注意:部署复杂,完整配置需要较多时间;20+ 工具的安全审计需求在生产环境中要认真对待;三级监管 Token 消耗增加 2-3 倍,生产成本需要规划;MIT 协议商业友好,但使用时需遵守 EULA 和 NOTICE 里的附加条款。

一句话定位:PentAGI 是目前开源 AI 自主渗透测试领域技术最全面、工程最成熟的平台,它想解决的不是”AI 能否做渗透测试”,而是”AI 渗透测试如何在生产环境里可靠运行、可量化、可审计”。


⚠️ 渗透测试工具只能用于已获得明确书面授权的系统。未授权的渗透测试行为违法。PentAGI 内置的多工具套件威力强大,请在受控的隔离网络环境中进行测试,并确保完全理解每个工具的行为边界。

觉得这个系列有价值的话点个在看,我们继续追踪 AI 安全工具链的最新进展。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:毅心安全 JunYi JunYi《PentAGI:19k Star 的全自主渗透测试”人工通用智能”,这次他们把企业级可观测性也塞进去了》

评论:0   参与:  0