PentAGI - открытая платформа VXControl для автоматизации тестирования безопасности. Пользователь задаёт цель, а система распределяет работу между ИИ-агентами, запускает инструменты пентеста в контейнерах и собирает отчёт. В репозитории проект назван полностью автономным агентом, но точнее считать его оркестратором языковых моделей, Docker и инструментов вроде nmap, Metasploit и sqlmap.
Актуальный релиз на момент обзора - PentAGI 2.0.0 от 11 апреля 2026 года. Версия добавила провайдеров DeepSeek, GLM, Kimi и Qwen, аналитику затрат, переключение модели в ходе задания и надзор за агентами. Возможности полезны в лаборатории или внутреннем аудите, но не делают модель экспертом, которому безопасно отдавать рабочую сеть.
Материал предназначен для легального и ответственного применения. Проверяйте только собственные стенды или системы, на тестирование которых есть письменное разрешение. В России и других странах нельзя применять подобные инструменты для несанкционированного доступа, слежки, взлома, нарушения правил сервисов или незаконного обхода ограничений.
Как работает PentAGI
Работа начинается с flow - задания верхнего уровня. Оркестратор дробит цель и подключает специализированных агентов. Researcher собирает сведения о цели и известных проблемах, developer планирует проверки, executor выполняет команды. Вывод инструментов и заметки сохраняются в PostgreSQL с pgvector, чтобы система находила похожие наблюдения в следующих прогонах.
Опциональный Graphiti строит граф знаний в Neo4j и связывает цели, инструменты, уязвимости и действия. Для наблюдения доступны Langfuse, OpenTelemetry, Grafana, VictoriaMetrics, Jaeger и Loki. REST и GraphQL API позволяют встроить платформу во внутренний аудит, хотя автоматический запуск активных проверок без ручного допуска резко повышает цену ошибки.
| Компонент | Польза | Риск |
|---|---|---|
| ИИ-агенты | Планируют шаги | Ошибочные действия |
| Контейнеры | Запускают инструменты | Доступ к Docker и сети |
| Память | Хранит результаты | Утечка секретов |
| Журналы | Помогают расследовать сбой | Чувствительный вывод |
Развёртывание: где начинаются риски
Документация указывает минимум: Docker Compose или Podman, 2 vCPU, 4 ГБ памяти и 20 ГБ диска. После настройки .env базовый стек запускается командой docker compose up -d, интерфейс открывается на localhost:8443. Для работы нужен хотя бы один провайдер модели: облачный API либо локальный Ollama.
Первый запуск нельзя оставлять с настройками по умолчанию. В инструкции указан вход admin@pentagi.com / admin, а конфигурация требует заменить соль cookie и пароли баз данных. Сервис по умолчанию слушает 127.0.0.1. Публиковать интерфейс наружу без сертификата, ограничения доступа и межсетевого экрана опасно.
Основной контейнер обращается к docker.sock и, согласно документации, запускается от root, поскольку создаёт рабочие контейнеры. Доступ к Docker API сопоставим с административными правами на хосте. Для чувствительных сред разработчики рекомендуют двухузловую схему, где исполнители работают на отдельном сервере. Такой вариант разумнее запуска автономных команд рядом с корпоративными секретами.
Где полезен, а где маркетинг обгоняет реальность
PentAGI уместен там, где цель разрешена и ограничена: учебный стенд, CTF, изолированная копия приложения, повторная проверка известной поверхности атаки. Агент может быстрее свести вывод инструментов, сохранить ход проверки и подготовить черновик отчёта. Специалист всё равно должен подтвердить уязвимость, оценить ущерб и отсеять ложные срабатывания.
Фраза «полностью автономный» скрывает ограничения. Качество зависит от модели, источников и точности задания. Агент способен зациклиться или выполнить опасный шаг на основе неверного вывода. В версии 2.0 появились планировщик и монитор выполнения, однако функции помечены как бета-версии и выключены по умолчанию. Заявление разработчиков о двукратном росте качества при росте времени и расхода токенов в 2-3 раза основано на тесте с Qwen3.5-27B-FP8, а не на независимом сравнении.
Браузер и поисковые источники создают ещё одну угрозу. NIST описывает риск agent hijacking: вредоносная инструкция в прочитанном материале может подтолкнуть агента к нежелательному действию. Для PentAGI проблема острее, потому что модель запускает команды. Ограничивайте сеть и диапазон целей, не размещайте секреты в рабочей среде, требуйте подтверждения опасных операций и сохраняйте журнал.
Облачная модель, поисковые API, Langfuse и граф памяти могут обрабатывать имена хостов, вывод команд и сведения о найденных проблемах. Локальная модель уменьшает передачу данных наружу, но не отменяет защиту журналов и хранилищ.
Стоит ли ставить PentAGI
Платформа интересна для команд внутреннего тестирования и AppSec-инженеров, которые умеют проверять результаты и готовы изолировать исполнителя. Для организации без согласования тестов, лаборатории и контроля секретов автономный пентест добавит новый риск. В EULA репозитория исходный код заявлен под MIT, а применение продукта ограничено авторизованными проверками.
PentAGI заменяет пентестера?
Нет. Платформа ускоряет сбор данных и проверку гипотез, но не определяет допустимый ущерб и не отвечает за повреждение системы. Итог подтверждает специалист.
Можно ли работать полностью локально?
Документация поддерживает Ollama и локальный vLLM. Локальный режим снижает передачу материалов внешнему провайдеру, но память, журналы, контейнеры и сеть всё равно требуют защиты.
Безопасно ли подключать платформу к рабочей сети?
Без отдельного рабочего узла, минимальных сетевых прав и ручного подтверждения опасных операций - нет. Рабочие системы проверяют только в согласованное окно и в строго заданных границах.
PentAGI 2.0 показывает переход от ИИ-помощника к исполнителю с терминалом и памятью. Оценивать платформу нужно по границам полномочий, изоляции Docker, сохранности данных и возможности остановить ошибочное действие до ущерба.