在线炒股配资门户网-杠杆交易软件搜加杠网-【东方资本】,股票杠杆app,今日热股什么意思,预计下周一股市行情展望

提交需求
*
*

*
*
*
立即提交
點(diǎn)擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產(chǎn)品與服務(wù)
    解決方案
    技術(shù)支持
    合作發(fā)展
    關(guān)于美創(chuàng)
    申請?jiān)囉?/ul>
      PentAGI自動滲透測試平臺搭建與使用
      發(fā)布時間:2025-09-26 閱讀次數(shù): 1535 次


      1、PentAGI介紹
      PentAGI 是一款由vxcontrol團(tuán)隊(duì)開發(fā)的創(chuàng)新自動化安全測試工具,具備自動化和智能化的特點(diǎn)。PentAGI具備安全隔離、全自主性、集成多種安全工具、智能記憶、實(shí)時情報(bào)收集、團(tuán)隊(duì)協(xié)作和詳細(xì)報(bào)告生成等。且部署過程簡單,適合安全專業(yè)人士和研究者,能夠在多種場景中高效應(yīng)用,如企業(yè)安全評估、安全研究、教育培訓(xùn)和開發(fā)集成。PentAGI 提供靈活的配置和強(qiáng)大的功能,極大地提升了滲透測試的效率和安全性。PentAGI的核心能力如下圖所示:



      2、PentAGI本地搭建
      PentAGI的官網(wǎng)地址為

      https://pentagi.com/

      其github代碼倉庫地址為

      https://github.com/vxcontrol/pentagi

      可以從上述途徑中獲取PentAGI的官方問題以及最新資訊

      PentAGI的安裝比較簡單,可以使用docker方便的進(jìn)行拉取部署,其安裝部署的軟硬件環(huán)境要求如下:

      1、Docker 和 Docker Compose

      2、最低 4GB RAM

      3、10GB可用磁盤空間

      4、可以訪問互聯(lián)網(wǎng)以下載鏡像和更新

      首先創(chuàng)建一個工作目錄

      mkdir pentagi && cd pentagi



      下載并重命名配置文件

      curl -o .envhttps://raw.githubusercontent.com/vxcontrol/pentagi/master/.env.example


      編輯.env文件,填入自己的大模型apikey,這里使用的是deepseek大模型

      vim .env

      主要是對Custom LLM provider配置項(xiàng)進(jìn)行修改

      LLM_SERVER_URL=https://api.deepseek.com/v1

      LLM_SERVER_KEY=sk-xxxxxx

      LLM_SERVER_MODEL=deepseek-reasoner

      LLM_SERVER_CONFIG_PATH=

      LLM_SERVER_LEGACY_REASONING=


      下載docker-compose.yml文件,拉取并啟動docker鏡像

      curl -Ohttps://raw.githubusercontent.com/vxcontrol/pentagi/master/docker-compose.yml

      docker-compose up -d

      最后訪問https://ip:8443/,然后使用初始賬號密碼admin@pentagi.com/admin登錄即可。



      3、PentAGI自動化滲透測試
      首先部署一個Pikachu靶場系統(tǒng),嘗試使用PentAGI對Pikachu靶場進(jìn)行自動化滲透測試并輸出報(bào)告。




      提示詞為

      “幫我對http://xx.xx.xx.xx:8765/這個系統(tǒng)進(jìn)行滲透測試,找出盡可能多的可利用漏洞,并輸出詳細(xì)的滲透測試報(bào)告”。

      可以看到PentAGI會把任務(wù)分割為一個個子任務(wù),然后針對每個子任務(wù)自動下載相應(yīng)的安全工具進(jìn)行測試。如nmap、sqlmap等。


      當(dāng)前階段的子任務(wù)完成后會輸出當(dāng)前子任務(wù)的成果信息,并開啟下一階段的子任務(wù)。同時會根據(jù)該階段的成果對后續(xù)的子任務(wù)進(jìn)行自動化持續(xù)優(yōu)化。


      比如在SQL注入測試子任務(wù)中,PentAGI可以正確的根據(jù)上一階段目錄掃描以及在線知識庫搜索的結(jié)果,識別出潛在的sql注入U(xiǎn)RL和參數(shù),并調(diào)用sqlmap命令進(jìn)行測試。


      Terminal窗口中可以看到PentAGI為了完成任務(wù)而執(zhí)行的命令。


      Screenshots窗口則可以看到在運(yùn)行過程中調(diào)用瀏覽器進(jìn)行網(wǎng)頁搜索的一些截圖。


      從上述過程來看PentAGI似乎是一個比較“可用”的AI自動化滲透測試平臺,但是在繼續(xù)等待測試的過程中,PentAGI的一些缺點(diǎn)也暴露了出來,一個是測試的過程非常漫長,因?yàn)镻entAGI是使用配置大模型API key的方式全自動運(yùn)行,支持openai、deepseek等主流LLM大模型,過程中不需要人工介入,會不斷自動調(diào)整,所以比較依賴于大模型本身的響應(yīng)速度。

      如下圖可以看到,前5個子任務(wù)從下午16時35分一直執(zhí)行到了晚上的22時26分,耗時將近6個小時。

      另一個缺點(diǎn)就是如上圖所示,發(fā)現(xiàn)在運(yùn)行到第6個子任務(wù)時就終止了,這其實(shí)是因?yàn)闇y試使用的deepseek api額度耗盡了。所以PentAGI的另一個缺陷就是非常耗tokens,本次測試前在deepseek賬戶中充值了15元,發(fā)現(xiàn)在執(zhí)行完5個子任務(wù)后,api額度已經(jīng)用盡。



      總結(jié)

      通過上述的使用過程發(fā)現(xiàn),PentAGI的自動化程度比此前測試的HexStrike-AI要高很多,部署搭建過程也非常便捷,從階段任務(wù)測試結(jié)果看來也比HexStrike-AI要好不少。PentAGI不同于HexStrike-AI的服務(wù)端客戶端分開的模式,而是統(tǒng)一集成在一個Web平臺中,使用過程簡單,結(jié)果展示直觀,是一個比較“可用”的AI自動化滲透測試平臺,具備一定的商業(yè)化前景。但是PentAGI的缺陷也比較明顯,一個是自動化程度高帶來過程的介入困難,整個滲透的過程都交給AI自動決策,無法進(jìn)行人工調(diào)整,耗時較長;另一個是成本較高,比較適合在擁有本地自建大模型的前提下進(jìn)行使用。


      上一條:每周安全速遞3?1 | XWorm惡意軟件新變種帶有勒索軟件模塊和超過35個插件
      下一條:每周安全速遞3?? | Everest勒索組織聲稱對寶馬進(jìn)行攻擊
      免費(fèi)試用
      服務(wù)熱線

      馬上咨詢

      400-811-3777

      回到頂部