俄罗斯网安巨头开源AI黑客：10+Agent协同挖漏洞

目前已经获得 7.2K Star，安全圈，编程圈都在关注。

01怎么自动干的

这个项目叫PentAGI，全称Penetration testing Artificial General Intelligence（渗透测试通用人工智能）。

名字够唬人。但它是真能干活。

给它一个目标网站，它会自己跑完整套流程：

①侦察：扫描目标，找开放端口和服务

②分析：判断攻击面，决定从哪下手

③攻击：尝试SQL注入、XSS、目录遍历...走不通就换策略

④报告：把漏洞整理成文档，附带利用方法

关键在哪？

13个专业化AI Agents互相通信，实时调整策略。就像特种部队，各司其职又默契配合。

按渗透测试流程分工：

侦察阶段：Searcher（信息搜索）、Enricher（数据丰富）

规划阶段：Primary Agent（主推理）、Adviser（专家顾问）、Reflector（自我反思）

攻击阶段：Pentester（渗透测试）、Coder（代码分析）、Installer（安装配置）

报告阶段：Generator（内容生成）、Refiner（内容优化）

辅助支持：Assistant（交互助手）、Simple/Simple JSON（基础任务）



全程零人工干预。

这就解决了“流程繁琐”的问题——以前人工要几天，现在AI几小时搞定。

02为啥比人靠谱

三个核心优势。

第一，越用越聪明。

传统渗透测试最大的问题：知识无法复用。

测试工程师走了，经验就散了。下次遇到类似漏洞，新人还得踩一遍坑。

PentAGI用pgvector向量数据库+Neo4j知识图谱，把每次成功的攻击方法自动存入知识库。

下次遇到类似漏洞？直接调用历史经验。

这就是AI比人强的地方：它不会忘。

第二，环境安全可控。

人工测试最怕啥？误伤生产环境。

PentAGI所有测试都在Docker容器里跑，完全隔离。内置20+专业安全工具：nmap、metasploit、sqlmap、nikto、dirb...

不用自己配环境。不用担心误伤。

沙箱里随便搞。

第三，协作比人类高效。

传统渗透测试团队：每个人负责一块，沟通靠开会。

PentAGI的13个Agents：实时通信，秒级响应。

Pentester发现一个可疑点→立即通知Coder写exploit

Coder写完代码→Reflector自我检查有没有问题

攻击失败→Adviser提供新思路，Primary Agent调整策略

这不是简单的工具堆砌，而是真正的智能协作。遇到问题不死磕，换思路、调方案。



给劲儿。

03谁能用

三类场景：

场景一：中小企业做安全测试

没预算请专业团队？用PentAGI。给个网站URL，自动扫描、测试、出报告。

场景二：安全团队持续监控

定期跑测试，及时发现新漏洞。比人工更稳定。

场景三：安全新人学习

看AI怎么做渗透测试，学习攻击思路和工具使用。

部署也简单。5分钟Docker一键部署：

git clone→配置LLM API→docker-compose up