> 调研时间:2026-07-08。数据取自 GitHub 仓库页、GitHub API(star / license / pushed_at)及多篇综述交叉核对。星数为当日近似快照,会走动。 > > ⚠️ 合规提醒:下列工具多为进攻性安全(红队、渗透)用途。只可用于你拥有书面授权的目标,或在自己的靶机、CTF、实验环境里跑。拿去扫别人的系统,跟拿撬棍逛邻居家没两样——那是违法的。
—
一、先说结论:这摊子水有多深
网络安全 + Agent 这块,2024 年起像雨后蘑菇,咕咚咕咚往外冒。我前后换了四轮关键词(pentest agent / red team framework / SOC agent / LLM vulnerability scanner / OSINT agent……)反复搜,又拿 GitHub API 把星数、协议、最近提交时间一个个扒了出来。
挑出来能打的,大约分五路:
– 进攻侧(红队 / 渗透):PentestGPT、CAI、Nebula、HackingBuddyGPT、RedTeam-Agent、Pentest Copilot – 防御侧(SOC / 检测 / 响应):AI_SOC、Tirreno、Reconmap – 专攻 LLM 自身安全(红队评估大模型):garak、agentic_security、NVISO cyber-security-llm-agents – 情报侧(OSINT):user-scanner – 学术实验型(论文附骨、未成熟):GyoiThon、DeepExploit、AutoPentest-DRL、ThreatDetect-ML、PentestAI、AI-OPS
星数最猛的是 PentestGPT(1.4 万★),其次是 CAI(约 9.4k★) 和 NVIDIA 的 garak(8.3k★)。有意思吧——garak 不攻系统,专攻大模型,反而比一堆渗透工具还受欢迎。说明大伙儿现在最慌的,是自家模型会被骗。
—
二、对照总表
| 项目 | 组织 / 作者 | ★ 星数 | 协议 | 最近提交 | 语言 | 能力域 |
|---|---|---|---|---|---|---|
| PentestGPT | GreyDGL | ~14,133 | MIT | 2026-06 | Python | 渗透测试 Agent(自主+交互双模) |
| CAI | aliasrobotics | ~9,400 | MIT* | 活跃 | Python | 多 Agent 攻防编排框架 |
| garak | NVIDIA | ~8,355 | Apache-2.0 | 2026-07 | Python | LLM 漏洞扫描器 |
| user-scanner | kaifcodec | ~2,555 | MIT | 2026-07 | Python | 邮件 / 用户名 OSINT |
| agentic_security | msoedov | ~1,919 | Apache-2.0 | 2026-06 | Python | LLM 漏洞 / 红队扫描 |
| HackingBuddyGPT | ipa-lab | ~1,165 | MIT | 2026-03 | Python | 对话式黑客实验框架 |
| Pentest Copilot | bugbasesecurity | ~1,061 | MIT | 2026-07 | TypeScript | 浏览器 AI 渗透助手 |
| Nebula | berylliumsec | ~1,049 | BSD-2-Clause | 2026-06 | Python | AI 渗透测试助手 |
| Tirreno | tirrenotechnologies | ~1,457 | AGPL-3.0 | 2026-07 | PHP | 威胁检测 / 风险评分(UEBA) |
| Reconmap | reconmap | ~938 | Apache-2.0 | 2026-07 | JS | 协作式安全运维平台 |
| NVISO cyber-security-llm-agents | NVISOsecurity | ~373 | 无声明 | 2024-05( stale) | Jupyter | LLM 安全 Agent 合集 |
| AI_SOC | zhadyz | ~132 | Other | 2026-05 | Python | AI 增强 SOC(多 Agent) |
| RedTeam-Agent | ktol1 | ~62 | MIT(README) | 2026-04 | — | 红队 / 内网渗透(MCP) |
* CAI 的 MIT 仅限研究;拿它做生意(比如对外卖渗透服务)得另购商业许可。
—
三、进攻侧:让 AI 拿 scanner 的,有哪些
1. PentestGPT —— 当之无愧的流量王
星数 1.4 万,不是白给的。它把渗透测试拆成”推理 / 生成 / 解析”三段流水线,老版是人机协同,v1.0 之后能全自动跑:自己维护上下文、迭代攻击链,抓到 flag 或撞到上限才停。作者 GreyDGL 就是发 USENIX 2024 那篇论文的人。XBOW 验证集上成功率 86.5%(90/104),这数字在自主渗透里算能看了。
它好就好在——多模型通吃,OpenAI、Anthropic、Gemini、DeepSeek、Qwen、本地 Ollama 都接。缺点是:自主模式下会真去敲命令,别拿它扫没授权的东西。
2. CAI —— 想当”AI 安全的事实标准”
aliasrobotics 出品,PentestGPT 原班人马参与。它不只一个 Agent,是一整套多 Agent 编排框架:300+ 模型随便换,内置侦察 / 提权 / 隧道等工具,还带护栏(防提示注入、拦危险命令)。实战痕迹挺硬——HackTheBox、漏洞赏金、甚至真去测了 Unitree 机器人和 Dragos 工控 CTF。
9.4k 星,1077 次提交,活跃得很。最适合想”自己搭一套专属安全 Agent”的团队。
3. Nebula —— 渗透佬的 AI 副驾
berylliumsec 做的终端助手。侦察、记笔记、漏洞分析、出报告,一条龙。接 Nmap / ZAP,支持自托管 LLM(Ollama 本地跑,数据不出门)。它不抢渗透师的活,是帮你把繁琐的文档和初步研判吃掉。1k 星,BSD 协议,2026 年 6 月还在更。小团队没预算买 Pentera、Cobalt 那种商业平台的,拿它顶上正合适。
4. HackingBuddyGPT —— 实验室里长出来的
ipa-lab 的项目,口号是”50 行代码让道德黑客用上 LLM”。它的价值不在产品化,在可实验:Linux 提权、Windows 提权、Web 渗透都有现成 use-case,你继承一个 Agent 类就能改。744 次提交,有论文背书。适合教学和研究,别指望它开箱既战。
5. RedTeam-Agent —— 国产新秀,绑 MCP
ktol1 做的,2026 年 2 月才开张,星还少(62),但路子野:基于 Model Context Protocol,把 gogo、fscan、nuclei、impacket、BloodHound 等 15+ 工具串起来,让 LLM 直接化身内网渗透员。AD 攻击链(Kerberoast、BloodHound、中继)覆盖得全。README 写 MIT,但仓库 API 没填 license 字段,商用前自己确认下。
6. Pentest Copilot —— 浏览器里点一点
bugbasesecurity 出品,TypeScript 写的,跑在浏览器里。自然语言说”我想测这个”,它给具体命令、讲方法论、翻译漏洞的业务含义。最大的卖点是带新人: juniors 把它当师傅。1k 星,MIT,建议自建实例,别用公共版。
—
四、防御侧:帮蓝队喘口气的
7. AI_SOC —— 多 Agent 守 SOC
zhadyz 做的开源 SOC,把 LLM + 多 Agent 编排揉进 Wazuh、TheHive,用 Foundation-Sec-8B 做本地推理,配 RAG 检索安全知识库。132 星,还在长。属于”自己搭蓝队智能体”的参考实现,不是成品盒子。
8. Tirreno —— 开源 UEBA
tirrenotechnologies 的,PHP 写的,干用户行为分析、风险评分。在裸 SIEM 告警和昂贵的 UEBA 商业平台之间,它正好补那一档。AGPL-3.0 协议——注意了,AGPL 是强 Copyleft,你改了挂服务给人用,得把源码摊出来。1.4k 星,活跃。
9. Reconmap —— 渗透项目的管理后台
reconmap 这个,定位不在”AI 攻防”,在协作:一次渗透从侦察、执行、记漏洞到出报告,全生命周期管起来。带命令自动化和 AI 摘要。938 星,Apache-2.0,MSSP 同时跑多个项目时最有用。
—
五、专攻”大模型自己”的安全
这类工具不碰你的网络,专测你的 AI 会不会被绕、被泄、被越狱。
10. garak —— NVIDIA 的 LLM 体检中心
星数 8.3k,全仓库 4151 次提交,2026 年 7 月还在猛更,Apache-2.0。它像 nmap,只不过扫的是大模型:幻觉、数据泄露、提示注入、越狱、毒性、恶意代码生成……几十类探针。想给你家模型做安全评估,garak 基本是默认起点。
11. agentic_security —— LLM 漏洞 + 红队一体
msoedov 做的,1.9k 星,Apache-2.0。跟 garak 重叠不少,但更偏”fuzzing 聚合”和 Agent 攻击面。多模态攻击(图、声)也管。两者二选一或搭配都行。
12. NVISO cyber-security-llm-agents —— 思路集,非产品
NVISO 安全公司扔出来的 Agent 合集,Jupyter 写的,373 星,但 2024 年 5 月后就基本没动了。价值在参考:看人家怎么用 LLM 拼 adversary emulation 之类的安全任务。当教材看。
—
六、情报侧 & 学术实验型
13. user-scanner —— OSINT 一把梭
kaifcodec 的,2.5k 星,MIT,2026 年 7 月还很活跃。一把梭扫 295+ 向量(邮件 110+、用户名 185+),做社工排查、钓鱼溯源、攻击面画像。SOC 日常调查能省不少手功。但——自动侦察得先过你们公司的”可接受使用政策”,权限收好。
14. 学术实验型(GyoiThon / DeepExploit / AutoPentest-DRL / ThreatDetect-ML / PentestAI / AI-OPS)
这几位在 spark42 那篇 “Top 10” 里被点名,多为论文附骨或早期实验:基于 ML/强化学习的自动化渗透、威胁检测。星数和成熟度参差,有的年久失修。想做研究可顺藤摸瓜,生产环境别指望。
—
七、怎么选:给你一张速查
– 想直接上手做渗透,要成熟 + 社区大 → PentestGPT 或 CAI。 – 要 AI 副驾、本地模型保隐私 → Nebula。 – 教学 / 自己改着玩实验 → HackingBuddyGPT。 – 内网 AD 红队、想绑 MCP 新玩法 → RedTeam-Agent( young,但方向对)。 – 给自家大模型做安全体检 → garak(首选)+ agentic_security(搭配)。 – 蓝队 SOC 智能化 → AI_SOC(自建参考)/ Tirreno(UEBA 成品感强)。 – 渗透项目管理 → Reconmap。 – 情报调查 / OSINT → user-scanner。
—
八、几点实话
第一,星多不等于能打仗。CAI、PentestGPT 这种有实战记录的才靠得住;RedTeam-Agent、AI_SOC 还嫩,当探索用。
第二,协议要看清。Tirreno 是 AGPL,改了挂服务得开源;CAI 商用要买许可;NVISO 那堆连 license 都没填,商用前先问作者。
第三,别迷信”自主”。即便最猛的框架,复杂任务上还是半自动(人在回路)比全自动稳。CAI 自己都说:semi-autonomous + HITL 明显强于 fully autonomous。
第四,这些工具是双刃剑。你用来守,别人也能用来攻。下载、部署、出报告,全程留痕,别越界。
—
附:主要参考与来源
– spark42 博客《Top 10 Open-Source AI Agent Penetration Testing Projects》(2025-07)
– Itera Research《10 open-source AI agents for cybersecurity》(2025-08)
– CISOPick《Open Source AI Security Tools on GitHub Worth Deploying in 2026》(2026-04)
– 各项目 GitHub 仓库页与 GitHub API(star / license / pushed_at,抓取于 2026-07-07~08)
– 关键仓库:GreyDGL/PentestGPT、aliasrobotics/cai、NVIDIA/garak、berylliumsec/nebula、ipa-lab/hackingBuddyGPT、ktol1/RedTeam-Agent、bugbasesecurity/pentest-copilot、msoedov/agentic_security、tirrenotechnologies/tirreno、reconmap/reconmap、zhadyz/AI_SOC、kaifcodec/user-scanner、NVISOsecurity/cyber-security-llm-agents
