TL;DR

PentestAgent (GitHub: GH05TCREW/pentestagent) là framework AI pentest mã nguồn mở (MIT, v0.2.0, ~2.1k sao) dùng LLM để thực sự thực thi recon → exploit → report. Tool tích hợp sẵn terminal, browser Playwright, notes, web search, và tự spawn child agent qua spawn_mcp_agent cho đa-agent phân cấp. Chạy nmap/netcat/curl trong Docker base image, hoặc metasploit/sqlmap/hydra trong Kali image. Bidirectional MCP — vừa là client vừa là server. Legal disclaimer rõ ràng: chỉ dùng trên hệ thống bạn có quyền test.

PentestAgent là gì — và vì sao khác

Từ 2023 đã có nhiều dự án gắn LLM vào pentest, nhưng hầu hết chỉ là chat wrapper — bảo bạn nên chạy lệnh gì, rồi bạn tự gõ. PentestAgent đi xa hơn một bước: agent tự gõ, tự đọc output, tự quyết bước tiếp theo. Framework cung cấp 4 chế độ vận hành:

  • Assist — single-shot, thực thi một chỉ thị với bộ tool
  • Agent — autonomous, lặp đi lặp lại tool-use cho tới khi xong task
  • Crew — đa-agent orchestration với worker chuyên hoá
  • Interact — guided session giữa operator và agent

Mọi mode đều backed bởi LLM bạn chọn (OpenAI gpt-5, Anthropic Claude, hoặc bất kỳ provider LiteLLM nào), và bộ tool built-in: terminal, browser (Playwright + Chromium), notes, web_search, và — quan trọng nhất — spawn_mcp_agent.

Vì sao điều này đáng chú ý

Bug bounty và red-team có một vấn đề chung: hầu hết thời gian không dành cho sáng tạo, mà cho grind lặp lại — subdomain enum, tech fingerprint, triage CVE đã biết, viết báo cáo. Đây chính là vùng LLM agent ăn điểm: quyết định đơn giản, lặp lại nhiều, có cấu trúc.

Cho tới nay, tự động hoá phần này cần hoặc (a) trả tiền cho platform autonomous pentest thương mại như XBOW hay Horizon3 — giá enterprise, scope đóng, hoặc (b) tự stitch LangChain/AutoGen + shell tooling, tốn hàng tuần. PentestAgent đưa ra option (c): MIT, self-host, bring-your-own API key, bring-your-own Kali container. Với solo bug hunter hay red team ở shop nhỏ, khoảng cách về tự động hoá so với big-co thu hẹp đáng kể.

Chi tiết kỹ thuật

Kiến trúc chia module rõ ràng:

ModuleVai trò
agents/Implementation của các loại agent
llm/Wrapper LiteLLM, hỗ trợ mọi provider LiteLLM chạm tới
mcp/Client + server MCP (STDIO local, SSE networked)
playbooks/Attack playbook prebuilt cho các scenario phổ biến
knowledge/RAG system + shadow graph cho knowledge discovery
runtime/Execution environment (local hoặc Docker)
tools/terminal, browser, notes, web_search, spawn_mcp_agent

Multi-agent đáng chú ý. Khi agent cha gọi spawn_mcp_agent, nó tạo child process hoàn toàn cô lập — runtime riêng, LLM client riêng, conversation history riêng, notes store riêng. Tool của child tự động inject ngược vào toolkit của cha sau khi spawn. Không cần Temporal, không cần Airflow, không cần orchestration framework external — mô hình đệ quy đơn giản.

MCP bidirectional + RAG tự động. PentestAgent vừa consume external MCP server (config qua mcp_servers.json), vừa expose bản thân như một MCP server. Khi external server lộ ra hơn 128 tool, framework tự deploy mcp_<server>_rag_optimizer — dùng embedding similarity để retrieve tool relevant theo context. Đây là pattern đáng copy cho ai đang build agent với MCP ecosystem lớn.

Knowledge persistence. Findings lưu trong loot/notes.json, phân loại: credential, vulnerability, finding, artifact. Notes sống xuyên session và auto-inject vào context của agent. Trong Crew mode, framework build knowledge graph từ notes để synthesize insight chiến lược — nền tảng cho auto-generate report.

So sánh ngắn

Giải phápMô hìnhGiáTự thực thi?
PentestAgentSelf-host, MITFree + API costCó (terminal, browser, Docker)
PentestGPT (2023)Chat wrapperFree + API costKhông — chỉ gợi ý
XBOW / Horizon3SaaS thương mạiEnterprise
Metasploit / Cobalt StrikeExploitation frameworkFree / $$$$Có — nhưng cần operator

Use case thực tế

  • Bug bounty recon ở scale — Crew mode fan-out sub-enum, tech fingerprint, CVE triage song song nhiều target
  • Red-team assist — Agent mode cày grind kill-chain (port scan → service ID → known-CVE map), operator lo phần judgment
  • Authorized pentest engagement — structured notes + knowledge graph → report tự sinh theo template
  • Security research / CTF — playbook chuẩn hoá cho methodology reproducible
  • Training — Interact mode cho học viên xem agent reasoning real-time

Giới hạn & điều cần biết trước khi dùng

Pháp lý không đùa. README ghi rõ: "Only use against systems you have explicit authorization to test. Unauthorized access is illegal." PentestAgent không phải jailbreak — nó vẫn bị ràng buộc bởi CFAA (Mỹ) và các luật computer-misuse tương đương ở mọi quốc gia. Dùng sai = đi tù thật.

Technical limits:

  • v0.2.0 — early-stage, chưa có public benchmark về success rate trên target thật
  • Autonomous agent loop có thể burn token rất nhanh trên recon session dài — không công bố cost benchmark
  • Docker base image chỉ có nmap/netcat/curl; muốn thêm tool phải extend image hoặc dùng MCP
  • Risk class mới: LLM có thể mở rộng scope ngoài ý muốn, scan gây noise, DoS vô tình — operator supervision vẫn bắt buộc
  • Phụ thuộc Playwright-Chromium cho browser tool, Python 3.10+, API key hợp lệ

Hướng tiếp theo

Repo active với 274 commit trên main, cộng đồng đang tăng (~2.1k sao). Pattern RAG-for-large-MCP-server gợi ý team chuẩn bị scale tới hàng trăm tool trên một deployment — hợp lý nếu MCP ecosystem tiếp tục nở. Hướng phát triển khả thi: thêm playbook prebuilt cho mobile/cloud/API pentest, Docker image chuyên ngành, cost/telemetry dashboard cho engagement dài. Không có public roadmap chính thức.

Với ai đang theo dõi giao điểm AI agent × offensive security, PentestAgent là một trong những reference implementation đáng đọc code nhất hiện nay — đặc biệt phần multi-agent spawn và MCP bidirectional.

Nguồn: GH05TCREW/pentestagent, README, VivekIntel trên X.