PentAGI 2.0: обзор автономного ИИ-агента для пентестов

1162
PentAGI 2.0: обзор автономного ИИ-агента для пентестов

PentAGI - открытая платформа VXControl для автоматизации тестирования безопасности. Пользователь задаёт цель, а система распределяет работу между ИИ-агентами, запускает инструменты пентеста в контейнерах и собирает отчёт. В репозитории проект назван полностью автономным агентом, но точнее считать его оркестратором языковых моделей, Docker и инструментов вроде nmap, Metasploit и sqlmap.

Актуальный релиз на момент обзора - PentAGI 2.0.0 от 11 апреля 2026 года. Версия добавила провайдеров DeepSeek, GLM, Kimi и Qwen, аналитику затрат, переключение модели в ходе задания и надзор за агентами. Возможности полезны в лаборатории или внутреннем аудите, но не делают модель экспертом, которому безопасно отдавать рабочую сеть.

Материал предназначен для легального и ответственного применения. Проверяйте только собственные стенды или системы, на тестирование которых есть письменное разрешение. В России и других странах нельзя применять подобные инструменты для несанкционированного доступа, слежки, взлома, нарушения правил сервисов или незаконного обхода ограничений.

Как работает PentAGI

Работа начинается с flow - задания верхнего уровня. Оркестратор дробит цель и подключает специализированных агентов. Researcher собирает сведения о цели и известных проблемах, developer планирует проверки, executor выполняет команды. Вывод инструментов и заметки сохраняются в PostgreSQL с pgvector, чтобы система находила похожие наблюдения в следующих прогонах.

Опциональный Graphiti строит граф знаний в Neo4j и связывает цели, инструменты, уязвимости и действия. Для наблюдения доступны Langfuse, OpenTelemetry, Grafana, VictoriaMetrics, Jaeger и Loki. REST и GraphQL API позволяют встроить платформу во внутренний аудит, хотя автоматический запуск активных проверок без ручного допуска резко повышает цену ошибки.

КомпонентПользаРиск
ИИ-агентыПланируют шагиОшибочные действия
КонтейнерыЗапускают инструментыДоступ к Docker и сети
ПамятьХранит результатыУтечка секретов
ЖурналыПомогают расследовать сбойЧувствительный вывод

Развёртывание: где начинаются риски

Документация указывает минимум: Docker Compose или Podman, 2 vCPU, 4 ГБ памяти и 20 ГБ диска. После настройки .env базовый стек запускается командой docker compose up -d, интерфейс открывается на localhost:8443. Для работы нужен хотя бы один провайдер модели: облачный API либо локальный Ollama.

Первый запуск нельзя оставлять с настройками по умолчанию. В инструкции указан вход admin@pentagi.com / admin, а конфигурация требует заменить соль cookie и пароли баз данных. Сервис по умолчанию слушает 127.0.0.1. Публиковать интерфейс наружу без сертификата, ограничения доступа и межсетевого экрана опасно.

Основной контейнер обращается к docker.sock и, согласно документации, запускается от root, поскольку создаёт рабочие контейнеры. Доступ к Docker API сопоставим с административными правами на хосте. Для чувствительных сред разработчики рекомендуют двухузловую схему, где исполнители работают на отдельном сервере. Такой вариант разумнее запуска автономных команд рядом с корпоративными секретами.

Где полезен, а где маркетинг обгоняет реальность

PentAGI уместен там, где цель разрешена и ограничена: учебный стенд, CTF, изолированная копия приложения, повторная проверка известной поверхности атаки. Агент может быстрее свести вывод инструментов, сохранить ход проверки и подготовить черновик отчёта. Специалист всё равно должен подтвердить уязвимость, оценить ущерб и отсеять ложные срабатывания.

Фраза «полностью автономный» скрывает ограничения. Качество зависит от модели, источников и точности задания. Агент способен зациклиться или выполнить опасный шаг на основе неверного вывода. В версии 2.0 появились планировщик и монитор выполнения, однако функции помечены как бета-версии и выключены по умолчанию. Заявление разработчиков о двукратном росте качества при росте времени и расхода токенов в 2-3 раза основано на тесте с Qwen3.5-27B-FP8, а не на независимом сравнении.

Браузер и поисковые источники создают ещё одну угрозу. NIST описывает риск agent hijacking: вредоносная инструкция в прочитанном материале может подтолкнуть агента к нежелательному действию. Для PentAGI проблема острее, потому что модель запускает команды. Ограничивайте сеть и диапазон целей, не размещайте секреты в рабочей среде, требуйте подтверждения опасных операций и сохраняйте журнал.

Облачная модель, поисковые API, Langfuse и граф памяти могут обрабатывать имена хостов, вывод команд и сведения о найденных проблемах. Локальная модель уменьшает передачу данных наружу, но не отменяет защиту журналов и хранилищ.

Стоит ли ставить PentAGI

Платформа интересна для команд внутреннего тестирования и AppSec-инженеров, которые умеют проверять результаты и готовы изолировать исполнителя. Для организации без согласования тестов, лаборатории и контроля секретов автономный пентест добавит новый риск. В EULA репозитория исходный код заявлен под MIT, а применение продукта ограничено авторизованными проверками.

PentAGI заменяет пентестера?

Нет. Платформа ускоряет сбор данных и проверку гипотез, но не определяет допустимый ущерб и не отвечает за повреждение системы. Итог подтверждает специалист.

Можно ли работать полностью локально?

Документация поддерживает Ollama и локальный vLLM. Локальный режим снижает передачу материалов внешнему провайдеру, но память, журналы, контейнеры и сеть всё равно требуют защиты.

Безопасно ли подключать платформу к рабочей сети?

Без отдельного рабочего узла, минимальных сетевых прав и ручного подтверждения опасных операций - нет. Рабочие системы проверяют только в согласованное окно и в строго заданных границах.

PentAGI 2.0 показывает переход от ИИ-помощника к исполнителю с терминалом и памятью. Оценивать платформу нужно по границам полномочий, изоляции Docker, сохранности данных и возможности остановить ошибочное действие до ущерба.

PentAGI пентест искусственный интеллект агент Docker безопасность аудит
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
10 000 человек уже думают как хакеры
Ты — пока нет. Реальные атаки, реальные стенды, реальная разница между «знаю» и «умею».
Присоединиться →
WHITE HAT // verified
РЕКЛАМА

Николай Нечепуренков

Я – ваш цифровой телохранитель и гид по джунглям интернета. Устал видеть, как хорошие люди попадаются на уловки кибермошенников, поэтому решил действовать. Здесь я делюсь своими секретами безопасности без занудства и сложных терминов. Неважно, считаешь ты себя гуру технологий или только учишься включать компьютер – у меня найдутся советы для каждого. Моя миссия? Сделать цифровой мир безопаснее, а тебя – увереннее в сети.