PentAGI是一个完全自主的AI代理系统,能够在隔离的Docker容器环境中自动执行复杂的渗透测试任务。系统采用多代理协作架构,支持多种主流LLM提供商,集成知识图谱实现经验积累与语义推理,内置20+专业安全工具,可自动生成详细的安全评估报告。
项目概述#
PentAGI (Penetration testing Artificial General Intelligence) 是一套企业级自主渗透测试平台,将大语言模型(LLM)与专业安全工具深度结合,实现从目标侦察到漏洞利用的全流程自动化。
解决的核心问题#
- 渗透测试人力成本高:通过AI代理降低对高薪安全专家的依赖
- 测试覆盖不完整:AI代理可7×24小时执行测试,覆盖更多攻击面
- 知识难以沉淀:通过Graphiti知识图谱+Neo4j实现测试经验的结构化存储与复用
- 环境搭建复杂:Docker容器化部署,开箱即用
- 报告生成耗时:自动生成包含漏洞利用指南的详细安全报告
核心能力#
AI Agent能力#
- 完全自主执行:AI驱动决策,自动规划并执行渗透测试步骤
- 专家团队协作:委托系统支持专门的AI代理(研究代理、开发代理、基础设施代理)
- 智能记忆系统:长期存储研究结果和成功方法,支持未来任务复用历史经验
- 上下文管理:链式摘要智能管理LLM上下文窗口,支持长周期复杂任务
安全与隔离机制#
- 安全沙箱隔离:所有操作在Docker容器隔离环境中执行
- 智能容器管理:根据任务类型自动选择合适的Docker镜像
- API Token认证:Bearer Token认证系统,支持REST和GraphQL API编程访问
- 自托管部署:完全控制部署和数据,无外部数据泄露风险
知识与情报收集#
- 知识图谱集成:基于Graphiti的知识图谱,使用Neo4j进行语义关系追踪和高级上下文理解
- Web情报收集:内置浏览器从Web来源获取最新信息
- 外部搜索引擎集成:支持Tavily、Traversaal、Perplexity、DuckDuckGo、Google Custom Search、Searxng
工具与报告#
- 专业渗透测试工具套件:内置20+专业安全工具,包括nmap、metasploit、sqlmap等
- 详细报告生成:生成包含漏洞利用指南的全面漏洞报告
- 流程可视化:现代UI实时查看测试过程
LLM提供商支持#
| 提供商 | 模型系列 | 特殊能力 |
|---|---|---|
| OpenAI | o系列(o1, o3, o4-mini)、GPT-4.1系列 | 推理模型支持 |
| Anthropic | Claude 4系列、Claude 3.7 | Extended Thinking扩展思维 |
| Google AI (Gemini) | Gemini 2.5系列 | 高达2M token上下文 |
| AWS Bedrock | 企业级多模型 | 企业合规支持 |
| Ollama | 本地模型 | 零成本本地推理 |
| Deep Infra/OpenRouter/DeepSeek/Moonshot | 多模型代理 | 成本优化与灵活性 |
适用场景#
| 场景 | 描述 |
|---|---|
| 自动化渗透测试 | 企业内部定期安全评估、红队演练 |
| 漏洞发现与利用 | 自动识别目标系统漏洞并验证可利用性 |
| 安全研究报告生成 | 输出符合行业标准的安全评估文档 |
| CI/CD安全集成 | 通过REST/GraphQL API集成到DevSecOps流水线 |
| 安全能力验证 | 作为蓝队对抗工具验证防御措施有效性 |
系统要求#
- Docker 和 Docker Compose
- 最低 2 vCPU(推荐4+)
- 最低 4GB RAM(推荐8+)
- 20GB 可用磁盘空间(推荐50+ SSD)
快速开始#
# 创建安装目录
mkdir -p pentagi && cd pentagi
# 下载安装程序
wget -O installer.zip https://pentagi.com/downloads/linux/amd64/installer-latest.zip
# 解压并运行
unzip installer.zip
sudo ./installer
访问地址:https://localhost:8443
默认凭据:admin@pentagi.com / admin
API支持#
- GraphQL API:
/api/v1/graphql - REST API:
/api/v1/ - Swagger UI:
/api/v1/swagger/index.html - GraphQL Playground:
/api/v1/graphql/playground