开源AI自主渗透测试框架Zen-Ai-Pentest部署与使用
2026-07-17
当我让AI员工完成H1盘点,他的交付……
2026-07-15
《“医保影像云”基础规范》数据安全要求梳理及美创产品满足性分析
2026-07-09
新规来了!网络数据安全风险评估成为常态化要求,企业如何高效合规?
2026-07-06
开源AI渗透测试工具Z3r0部署与使用
2026-07-03
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务Zen-Ai-Pentest 是一个由AI驱动的自主渗透测试框架,专为安全专业人员、漏洞悬赏猎人和企业红队打造。它将前沿的大型语言模型(LLM)与超过72种专业安全测试工具(如Nmap、Metasploit等)深度融合。系统内置了现代化的 Web UI、REST API 以及命令行工具(CLI)。通过一键启动,用户即可让 AI 自动执行信息收集、漏洞扫描、漏洞利用验证以及合规报告生成。为了保障测试安全,框架内置了强健的安全护栏(如私有IP拦截、Docker沙箱执行)和多模型投票机制,以最大程度减少 AI 幻觉和扫描误报。
Zen-Ai-Pentest项目开源地址为:https://github.com/SHAdd0WTAka/Zen-Ai-Pentest,目前Star数为413

Zen-Ai-Pentest 架构设计的核心亮点在于“多智能体(Multi-Agent)协同与 ReAct 推理工作流”。它不仅仅是传统安全工具的脚本化封装,而是依赖状态机(空闲 -> 规划 -> 执行 -> 观察 -> 反思 -> 完成)进行动态决策。
其核心引擎由以下几个关键模块构成:
AI 角色系统(Persona System):内置了 11 个专业化 Agent(如 Recon 侦察、Exploit 利用、Audit 审计等),各司其职负责渗透生命周期的不同阶段。
风险评估引擎(Risk Engine):引入 LLM 投票共识机制与贝叶斯过滤,结合 CVSS/EPSS 标准计算业务影响,精准剔除误报。
攻击路径分析(Attack Path Analysis):通过动态构建图模型,可视化追踪所有入口点和攻击面,模拟不同攻击向量的连贯性。
安全隔离执行层:漏洞利用与验证环节均在受限的 Docker 容器沙箱中进行,并配有4级安全策略控制。

推荐使用 Docker Compose 进行快速隔离部署。
克隆仓库
git clone https://github.com/SHAdd0WTAka/Zen-Ai-Pentest.git
cd Zen-Ai-Pentest

创建配置文件并配置大模型API
cp .env.example .env
vim .env
在 .env 文件中配置 LLM 提供商、API 密钥以及沙箱安全策略限制:

一键启动服务
docker-compose up -d
启动完成后,服务将暴露在以下本地端口:
Web Dashboard UI:http://ip:3000
API 接口与文档: http://ip:8000/docs
在 Web 仪表盘中新建一个扫描任务(New Scan),输入目标 URL 或 IP 范围即可开始自动化渗透测试。
Zen-Ai-Pentest 作为一个400+Star的开源项目,在实际部署过程中发现存在非常多的问题,这些问题不仅会造成部署失败,即使根据问题临时解决部署成功后,系统也无法正常使用,Zen-Ai-Pentest更像是一个测试项目。
就目前来说,Zen-Ai-Pentest并不是一个稳定可用的AI渗透测试系统,作者目前的更新动作也并不频繁,整体系统代码质量不高。感兴趣的安全人员可以观察等待后续作者更新后再进行部署测试。