文章总结: Pentest-AI是一款人工智能驱动的渗透测试工具,通过机器学习预言机自动验证漏洞发现,实现零误报。它支持侦察、登录、多步攻击链构建,并提供便携式证明胶囊供用户回放验证。该工具可在本地部署,无需云端依赖,并集成CI/CD流程,适用于授权安全测试场景。 综合评分: 87 文章分类: 渗透测试,安全工具,红队,漏洞分析,安全开发
【AI渗透工具】——Pentest-AI
原创
网络安全民工 网络安全民工
网络安全民工
2026年6月28日 10:41 北京
在小说阅读器读本章
去阅读
Pentest-AI
渗透测试工具,用来证明其发现。没有神谕,没有徽章。
⚠️ 冒犯性工具,仅限授权测试。安装即表示您同意 AUP 和条款。全文请阅读 负责任使用 ↓
PTAI 是一个由人工智能驱动的渗透测试工具,会重新运行每一次漏洞以确认。它会进行侦察、登录,并将发现串联成多步攻击路径,但不会要求你信任结果。就像 TruffleHog 通过登录确认泄露的秘密一样,ptai 通过重跑漏洞来确认网络发现:发现会保持候选状态,直到机器预言机从中 N 重现出它,只有在那时它才会获得 VERIFIED 徽章。第三方扫描器输出(核、Nikto、zap)会被保留,直到 Oracle 重新验证。扫描噪声训练团队忽视工具,因此报告只包含 ptai 能证明的内容,每个已验证的发现都配有便携式的证明胶囊,你可以自己回放。
在一个私有的20个漏洞蜜罐上:19/20被抓,精度100%,零误报,四个错误类别通过预言机验证。运行在你的笔记本电脑上。没有云层,没有遥测。
证明
pip install ptai && ptai demo
ptai demo扫描一个捆绑的易受攻击应用并报告,然后从证明胶囊中实时回放一个应用(),然后运行相同的硬化路线并报告。两次运行之间唯一变化的是修复,所以发现会随着漏洞出现又消失,而不是因为工具突然安静。两分钟,没有API密钥,没有自己的目标。用 重新验证任何胶囊。4 findings, 3 oracle-VERIFIED``replay 3/3``0 findings``ptai replay
诚实的数据。19/20在100%精度下是对一个私人20个漏洞蜜罐的一次运行(共39项发现),而非现场误报率。oracle门购买精度而不消耗回忆成本:它去除了假阳性,不提高捕捉率。“四个神谕验证类”意味着四个虫类今天有一个具体的神谕;每次发布都会有更多土地。OAST证明了HTTP回调盲层;仅限DNS回拨是后续的。蜜罐束()和一个干净应用的零FP门()都出现在仓库里,所以声明是可复现的,而不是截图。
tests/honeypot/``tests/cleanapp/
新内容:信任脊柱
现在,所有已验证的发现都来自命名机器预言机,而非大型语言模型断言,且通过代码强制执行:无法命名其预言机的判决被拒绝。本稿新增内容:
-
八个机器预言机用于重运行漏洞以确认利用:反射、开放重定向、IDOR/BOLA、错误披露、MCP暴露、SQLi(布尔和盲)以及带外(OAST),用于自架协作者上的盲SSRF/XXE。
-
证明或杀死门控
:第三方扫描器输出会隐藏,直到神谕者重新验证。
-
便携式证明胶囊,带有实时TUI,显示判决在屏幕上翻转为已验证,以及CI门(),仅在经过验证的发现时破坏构建。
ptai replay``--fail-on verified
runing
One prompt to Claude Code. MCP服务器对目标运行了ptai的工具,Claude将发现数据流回会话中。订阅驱动,没有API密钥。
通过 MCP 上的 Claude Code 指向一家 OWASP Juice Shop 的库存,ptai 发现并进行了 PoC 处理了主要的 bug:JWT 在 8+ 受保护端点上被接受,SQLi 认证绕过,基于 UNION 的 SQLi,通过 NUL 字节绕过路径过滤,XXE 泄露,文件上传多语种,批量分配,密码重置绕过。每个人都有一个可用的联系人。Juice Shop是一个研究重点,所以把原始发现量解读为广度;精准的故事,只有神谕者能证明的,就是上面的演示和蜜罐。alg:none``/rest/user/login``/rest/products/search``/etc/passwd
录制是对本地 OWASP 蜜罐的实际输出,注册为 MCP 服务器。cast文件在assets/realdemo.cast中;GIF 使用的时间节奏重渲染格式在 assets/realdemo-paced.cast 中。发现是真实的;线路间时序为可观看性进行了重建,因为缓冲区和转储在非交互模式下。保留确定性合成的备选(assets/demo.tape + assets/demo.sh)以实现可复现的重渲染。
claude -p``pentest-ai``claude -p诚实声明:Juice Shop 是互联网上被报道最多、故意设计漏洞的应用,因此大型语言模型(LLM)和探测作者都占据了先机。针对新颖目标,捕获率取决于精心策划的探针库实际覆盖的范围:目前有60个网络探针,每次发布都在增长。LLM协调并推理结果;它不能替代探头。私人蜜罐框架在我们自己编写的漏洞覆盖中被断言为10/10被抓获()。那里的人数比Juice Shop还少,这正是重点。我们两者都出版。查看完整的Juice Shop基准测试与ZAP / Nuclei / HexStrike的比较。
tests/honeypot/``tests/honeypot/test_mcp_honeypot_e2e.py
安装
pip install ptai
路径1:从Claude代码驱动(无API密钥)
如果你已经付费购买了Claude Pro / Max / Team,那么你的订阅就是LLM。将ptai线路连接为MCP服务器:
claude mcp add pentest-ai -- ptai mcp
重启Claude代码,然后询问:
“对 staging.acme.com 做个认证渗透测试。登录地址是 /login,密码是 25export PTAI_PRICE_LIMIT=0 # unlimited (logs a warning)``unset PTAI_PRICE_LIMIT # back to the PENTEST_AI_API_TOKEN``WS /engagements/{id}/stream
将其他MCP服务器加载为工具源
请用hexstrike或其他兼容MCP的安全服务器进行合成。编辑:~/.pentest-ai/mcp_servers.json
{ "servers": [ {"name": "hexstrike", "command": "python3 hexstrike_mcp.py", "transport": "stdio"} ]}
中路接手(HITL远程操作)
在交接运行时,在600毫秒内按两次以暂停编排器并切换到REPL:, , , 。当前的大型语言模型并非完全自主。关键时刻由操作员负责通话。Ctrl+C``step``inspect findings``inject <instruction>``skip``resume``abort
公开基准
可复现的破解率测量数据实时存在基准测试/:
./benchmarks/scripts/run_all.sh # writes JSON per run + RESULTS.md
规格、线束、结果都在 git 里。Juice Shop 与 ZAP / Nuclei / HexStrike 的完整对比可以在 docs/benchmarks/juice-shop.md 查看。没有“98.7% 检测率”的宣传,你无法审计。
云工作空间(Pro / Team / Enterprise)
CLI永久免费,所有内容都存储在本地。如果你想要参与历史、品牌化的客户端专用PDF报告和团队协作,可以将CLI链接到 app.pentestai.xyz 工作区:
# Sign up, then Dashboard -> API Keys -> Generate -> copy ptai_...ptai auth login # paste the key (hidden prompt)ptai auth status # confirm link# or use an env var for CI:export PENTESTAI_API_KEY=ptai_...
ptai start认证后会自动同步发现到你的云工作区。无云=无通话;集成是无声关闭的,除非你登录。
完全没有大型语言模型(互动启动器)
ptai menu
数字分类导航、搜索()、标签过滤()、基于关键词的推荐。真实的互动仍然会在完整范围确认下完成。/term``t web``ptai start
Why it’s different
| | |
| — | — |
| 🤖 它是基于LLM协调的,而非依赖LLM的 | 17个代理涵盖侦察、网页、API、AD、云端、移动端、无线、浏览器、凭证、私有、漏洞扫描、链化、PoC、检测、报告、社会工程和LLM红队。LLM运行相位循环和对结果的推理;错误检测在策划确定性探针库中。设置不设置API密钥,同样的探测仍然运行。LLM坐标;它不扫描。 |
| 🔓 MCP路径上没有API密钥 | Claude Code / Cursor / Codex 用户通过现有订阅驱动 PTAI 通过 MCP。200+ 工具包装器和 60 个探针可在 LLM 调用,无需 Anthropic 密钥。独立的 CLI() 是 API 密钥的关键所在;那就是无 MCP、CI 和空隙路径的 Codex。ptai start --agent-mode |
| 🔐 它登录了 | 大多数扫描仪在登录页面就死机了。这个扫描仪会进行会话,凭证过期时刷新,所有下游工具都会继承Cookie。认证配置文件存储引用(env vars、Vault paths、AWS Secrets Manager ARNs),从不存储值。op:// |
| 🧪 每一项发现都经过验证 | 一个非破坏性的概念验证对目标进行。不再用嘈杂的扫描器分流40个“也许”。 |
| ⚡ CI-native | GitHub Action、严重度门、SARIF 输出、PR 注释。把它放进你的工作流程文件,下一个 PR 上就能运行。 |
| 💾 运行在你的笔记本电脑上 | MIT授权,不使用云端通话。离线运行,使用Ollama。发现会保留在你的磁盘上。 |
工作原理
┌─────────────────────────────────────────────────────────────┐│ ptai start <target> │└─────────────────────────────────────────────────────────────┘ │ ┌──────────────────┼──────────────────┐ ▼ ▼ ▼ ┌────────┐ ┌────────┐ ┌─────────┐ │ recon │ -> │ auth │ -> │ web │ └────────┘ └────────┘ └─────────┘ │ ┌────────────────────────────────────┤ ▼ ▼ ┌────────┐ ┌─────────┐ │ ad │ ┌──────────────────┐ │ cloud │ └────────┘ │ Findings DB │ └─────────┘ │ │ (sqlite + evidence)│ │ └───────▶│ scope-guarded │◀──────┘ │ deduplicated │ └──────────────────┘ │ ┌────────────┼────────────┐ ▼ ▼ ▼ ┌──────┐ ┌─────────┐ ┌──────────┐ │chain │ │validate │ │ detect │ └──────┘ └─────────┘ └──────────┘ │ ▼ ┌──────────┐ │ report │ md · html · pdf · SARIF · JUnit └──────────┘
每个代理在你设置了密钥时会运行一个大型语言模型,未设置时则作为确定性工具循环运行。无论哪种方式,相位顺序是相同的。
代理人
| 代理人 | 阶段 | 母羊 |
| — | — | — |
| recon | 1 | 端口扫描、DNS和子域枚举、服务指纹识别 |
| web | 2 | 认证OWASP测试指南v4通过 |
| api_security | 2 | OpenAPI/GraphQL/REST 表面分析,OWASP API Top 10 |
| browser | 2 | 剧作家驱动的DOM分析、XHR捕获、安全头分级 |
| ad | 3 | AD enum、Kerberoasting、BloodHound 寻路、授权滥用 |
| cloud | 4 | AWS、Azure、GCP IAM、misconfig、K8s RBAC、serverless |
| credential_tester | 4 | 密码喷射、凭据填充、多重身份验证绕过检查 |
| privesc | 5 | 从收集的背景出发的本地和横向特权升级建议 |
| vuln_scanner | 5 | 交叉剖析的虚弱点聚合与数据库发现的关系 |
| exploit_chain | 6 | 将发现关联为多步攻击路径 |
| poc_validator | 7 | 每个发现的非破坏性概念证明 |
| detection | 8 | 蓝队的Sigma、SPL、KQL规则 |
| report | 9 | Markdown、HTML、PDF、SARIF、JUnit、合规地图 |
| llm_redteam | OPT | OWASP LLM 前十名探针 |
| social_engineer | OPT | 网络钓鱼语料库与借口生成 |
| mobile | OPT | Android/iOS 静态 + 动态检查 |
| wireless | OPT | 无线侦察与握手捕获 |
战术手册
你的方法论作为文件。我查过git。与你的团队共享。
name: internal-ad-pentestinputs: domain: { required: true, prompt: "AD domain" } dc_ip: { required: true, prompt: "DC IP" }phases: - id: recon tools: [nmap, masscan] - id: ad-enum depends_on: [recon] condition: "any_finding(type='open_port', port=445)" tools: [enum4linux, ldapsearch, bloodhound-python] - id: kerberoast requires_finding: { type: ad_user_enumerated } tools: [impacket-getuserspns] llm_decide: true # let the LLM skip if context says useless
ptai playbook list # show installed playbooksptai playbook show web-app-quick # preview before runningptai playbook run ./my-ad.yaml # execute
内置五本战术手册。社区目录即将推出。
把它放进你的CI里
# .github/workflows/security.ymlname: Security scanon: [pull_request]jobs: ptai: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - run: pip install ptai - run: | ptai start {{ secrets.ANTHROPIC_API_KEY }} - uses: github/codeql-action/upload-sarif@v3 if: always() with: sarif_file: pentest.sarif
发现以公关评论形式发布,SARIF 上传到 GitHub 代码扫描,构建因门槛严重度而失败。GitLab CI 和 Jenkins 模板,以及高级选项(CI 中的认证配置文件、成本门、范围文件)——> docs/ci-cd.md。
基准测试
PTAI 的设计专为 SPA 渗透测试设计,并配备精心筛选的探针覆盖范围。在OWASP果汁店上,发布的四工具矩阵显示:
| 工具 | 研究结果 | 危急+高 | OWASP十大得分榜 | FP率 | | — | — | — | — | — | | PTAI 0.13.0 | 88 | 46 | 5 | 0% | | ZAP 2.17.0 | 593 | 0 | 1 | 47% | | Nuclei 3.8.0 | 1 | 0 | 1 | 0% | | HexStrike v6.0 | 11 | 0 | 1 | – |
n=1个单一评分,单次击球。方法论 + 基准/结果/2026-05-12/juice-shop/中的原始伪影。说实话:ptai 在 SPA 网络渗透测试方面更胜一筹,且有精心筛选的探针覆盖。HexStrike 更广泛(云端、二进制、CTF),很可能比传统可爬取表面如 WordPress 的 ptai 更强。V5会扩大比较范围。
最新研究背景:完全自主的LLM渗透测试代理完成了21-31%的任务端到端;人工辅助设置达到64%(ARTEMIS、DARPA AICC Atlantis、xOffense)。ptai专为人类辅助系统设计:LLM推理结果,策划的探针检测,Ctrl+C两次让操作员接手。
对阵场地
| | ptai | 六角击 | 啪 | 原子核 | 打嗝专业 | PentestGPT |
| — | — | — | — | — | — | — |
| 通过MCP驱动的LLM(无API密钥) | ✓ | ✓ | | | | |
| 在作用域守护下由LLM合成的HTTP | ✓ | 部分 | | | | |
| 通过MCP进行认证扫描 | ✓ | 部分 | 部分 | 原始HTTP | ✓ | |
| 利用链 | ✓ | 部分 | | | | 部分 |
| 非破坏性 PoC 验证 | ✓ | | | | 部分 | |
| 存储注入链(POST -> GET verify) | ✓ | 手动挡 | 部分 | | 手动挡 | |
| 经过筛选的探针(专业化,非模板驱动) | 60 | 工具包裹驱动 | 规则驱动 | 8000+ 模板 | 手动+扫描 | – |
| 封装CLI安全工具 | 200+ | 150+ | – | – | – | – |
| 工具安装向导 | 核心/推荐/全工具+每个工具 | – | 无 | 无 | 无 | – |
| 交战开始时的智能安装 | ✓ | | | | | |
| CI-native(SARIF + 严重度门) | ✓ | | 部分 | 部分 | 部分 | |
| LLM红队探针 | ✓ | | | | | |
| YAML操作手册 | ✓ | | | 模板 | | |
| 许可 | 麻省理工学院 | 麻省理工学院 | 阿帕奇2.0 | 麻省理工学院 | 商业 | 麻省理工学院 |
里面是什么
-
17名代理
涵盖侦测、网页、API安全、AD、云端、移动端、无线、浏览器、凭证测试、权限升级、漏洞扫描、漏洞链、人种验证、检测、报告、大型语言模型红队、社会工程学
-
60个精选的网络探题,
涵盖OWASP前十名+API前十名
-
200+ 工具包装带
自动安装:nmap、masscan、nuclei、ffuf、sqlmap、gobuster、wapiti、nikto、dalfox、xsstrike、wpscan、hydra、hashcat、enum4linux、bloodhound-python、impacket 套件、trufflehog、gitleaks、kube-hunter、trivy、prowler、scout-suite 等
-
集成4000+核模板用于原子脆弱性检测
-
49个面向LLM驱动的MCP工具,包括0.14.0的添加(, ),允许外部LLM在无需Anthropic API密钥的情况下批量安装工具
plan_tools``ensure_tools_installed -
通过
LiteLLM提供商(Anthropic、OpenAI、Ollama Direct;Azure、OpenRouter、DeepSeek、Groq、Mistral、Together AI、Bedrock、Vertex AI、Cohere 通过 LiteLLM 提供)
-
HTTP REST API + WebSocket surface () 用于非 MCP 集成
ptai serve -
本地网页仪表盘
,包含实时参与视图、发现表、攻击链可视化、SARIF 导出
-
浏览器自动化代理,支持截图截图、DOM分析、网络捕获、安全头部调级(Playwright驱动)
-
人在环中远程操作
(Ctrl+C两次以接管战斗中段)
-
MCP 客户端
可作为工具源加载外部 MCP 服务器的能力
-
公开可重复基准工具
。数字、代码、原始伪影,全都在 git 里。
benchmarks/ -
6种输出格式
:Markdown、HTML、PDF、SARIF 2.1.0、JUnit XML、合规映射(OWASP、CWE、CVE、CVSS v3.1)
-
在Python 3.10、3.11、3.12、3.13上用CI进行1,000+测试
-
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络安全民工 网络安全民工 网络安全民工《【AI渗透工具】——Pentest-AI》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论