盛世集团

提交需求
*
*

*
*
*
立即提交
点击”立即提交” ,表明我理解并同意 《盛世集团科技隐私条款》

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于盛世集团
    申请试用
      PentAGI自动渗透测试平台搭建与使用
      发布时间:2025-09-26 阅读次数: 11790 次


      1、PentAGI介绍
      PentAGI 是一款由vxcontrol团队开发的创新自动化安全测试工具 ,具备自动化和智能化的特点。PentAGI具备安全隔离、全自主性、集成多种安全工具、智能记忆、实时情报收集、团队协作和详细报告生成等。且部署过程简单 ,适合安全专业人士和研究者 ,能够在多种场景中高效应用 ,如企业安全评估、安全研究、教育培训和开发集成。PentAGI 提供灵活的配置和强大的功能 ,极大地提升了渗透测试的效率和安全性。PentAGI的核心能力如下图所示:
      盛世集团·(中国大陆)官方网站



      2、PentAGI本地搭建
      PentAGI的官网地址为

      https://pentagi.com/

      其github代码仓库地址为

      https://github.com/vxcontrol/pentagi

      可以从上述途径中获取PentAGI的官方问题以及最新资讯

      PentAGI的安装比较简单 ,可以使用docker方便的进行拉取部署 ,其安装部署的软硬件环境要求如下:

      1、Docker 和 Docker Compose

      2、最低 4GB RAM

      3、10GB可用磁盘空间

      4、可以访问互联网以下载镜像和更新

      首先创建一个工作目录

      mkdir pentagi && cd pentagi

      盛世集团·(中国大陆)官方网站


      下载并重命名配置文件

      curl -o .envhttps://raw.githubusercontent.com/vxcontrol/pentagi/master/.env.example

      盛世集团·(中国大陆)官方网站

      编辑.env文件 ,填入自己的大模型apikey ,这里使用的是deepseek大模型

      vim .env

      主要是对Custom LLM provider配置项进行修改

      LLM_SERVER_URL=https://api.deepseek.com/v1

      LLM_SERVER_KEY=sk-xxxxxx

      LLM_SERVER_MODEL=deepseek-reasoner

      LLM_SERVER_CONFIG_PATH=

      LLM_SERVER_LEGACY_REASONING=

      盛世集团·(中国大陆)官方网站

      下载docker-compose.yml文件 ,拉取并启动docker镜像

      curl -Ohttps://raw.githubusercontent.com/vxcontrol/pentagi/master/docker-compose.yml

      docker-compose up -d
      盛世集团·(中国大陆)官方网站

      最后访问https://ip:8443/ ,然后使用初始账号密码admin@pentagi.com/admin登录即可。

      盛世集团·(中国大陆)官方网站


      3、PentAGI自动化渗透测试
      首先部署一个Pikachu靶场系统 ,尝试使用PentAGI对Pikachu靶场进行自动化渗透测试并输出报告。


      盛世集团·(中国大陆)官方网站

      提示词为

      “帮我对http://xx.xx.xx.xx:8765/这个系统进行渗透测试 ,找出尽可能多的可利用漏洞 ,并输出详细的渗透测试报告”。

      可以看到PentAGI会把任务分割为一个个子任务 ,然后针对每个子任务自动下载相应的安全工具进行测试。如nmap、sqlmap等。

      盛世集团·(中国大陆)官方网站

      当前阶段的子任务完成后会输出当前子任务的成果信息 ,并开启下一阶段的子任务。同时会根据该阶段的成果对后续的子任务进行自动化持续优化。

      盛世集团·(中国大陆)官方网站

      比如在SQL注入测试子任务中 ,PentAGI可以正确的根据上一阶段目录扫描以及在线知识库搜索的结果 ,识别出潜在的sql注入URL和参数 ,并调用sqlmap命令进行测试。

      盛世集团·(中国大陆)官方网站

      Terminal 从上述过程来看PentAGI似乎是一个比较“可用”的AI自动化渗透测试平台 ,但是在继续等待测试的过程中 ,PentAGI的一些缺点也暴露了出来 ,一个是测试的过程非常漫长 ,因为PentAGI是使用配置大模型API key的方式全自动运行 ,支持openai、deepseek等主流LLM大模型 ,过程中不需要人工介入 ,会不断自动调整 ,所以比较依赖于大模型本身的响应速度。

      如下图可以看到 ,前5个子任务从下午16时35分一直执行到了晚上的22时26分 ,耗时将近6个小时。

      盛世集团·(中国大陆)官方网站

      盛世集团·(中国大陆)官方网站

      另一个缺点就是如上图所示 ,发现在运行到第6个子任务时就终止了 ,这其实是因为测试使用的deepseek api额度耗尽了。所以PentAGI的另一个缺陷就是非常耗tokens ,本次测试前在deepseek账户中充值了15元 ,发现在执行完5个子任务后 ,api额度已经用尽。

      盛世集团·(中国大陆)官方网站

      盛世集团·(中国大陆)官方网站



      总结

      通过上述的使用过程发现 ,PentAGI的自动化程度比此前测试的HexStrike-AI要高很多 ,部署搭建过程也非常便捷 ,从阶段任务测试结果看来也比HexStrike-AI要好不少。PentAGI不同于HexStrike-AI的服务端客户端分开的模式 ,而是统一集成在一个Web平台中 ,使用过程简单 ,结果展示直观 ,是一个比较“可用”的AI自动化渗透测试平台 ,具备一定的商业化前景。但是PentAGI的缺陷也比较明显 ,一个是自动化程度高带来过程的介入困难 ,整个渗透的过程都交给AI自动决策 ,无法进行人工调整 ,耗时较长;另一个是成本较高 ,比较适合在拥有本地自建大模型的前提下进行使用。


      上一条:每周安全速递??? | XWorm恶意软件新变种带有勒索软件?楹统35个插件
      下一条:每周安全速递??? | Everest勒索组织声称对宝马进行攻击
      盛世集团·(中国大陆)官方网站 免费试用
      盛世集团·(中国大陆)官方网站 服务热线
      盛世集团·(中国大陆)官方网站

      马上咨询

      400-811-3777

      盛世集团·(中国大陆)官方网站 回到顶部
      【网站地图】