GitHub 上开源的网络安全 Agent 项目:横向盘点与选型

> 调研时间:2026-07-08。数据取自 GitHub 仓库页、GitHub API(star / lic...

> 调研时间:2026-07-08。数据取自 GitHub 仓库页、GitHub API(star / license / pushed_at)及多篇综述交叉核对。星数为当日近似快照,会走动。 > > ⚠️ 合规提醒:下列工具多为进攻性安全(红队、渗透)用途。只可用于你拥有书面授权的目标,或在自己的靶机、CTF、实验环境里跑。拿去扫别人的系统,跟拿撬棍逛邻居家没两样——那是违法的。

一、先说结论:这摊子水有多深

网络安全 + Agent 这块,2024 年起像雨后蘑菇,咕咚咕咚往外冒。我前后换了四轮关键词(pentest agent / red team framework / SOC agent / LLM vulnerability scanner / OSINT agent……)反复搜,又拿 GitHub API 把星数、协议、最近提交时间一个个扒了出来。

挑出来能打的,大约分五路:

进攻侧(红队 / 渗透):PentestGPT、CAI、Nebula、HackingBuddyGPT、RedTeam-Agent、Pentest Copilot – 防御侧(SOC / 检测 / 响应):AI_SOC、Tirreno、Reconmap – 专攻 LLM 自身安全(红队评估大模型):garak、agentic_security、NVISO cyber-security-llm-agents – 情报侧(OSINT):user-scanner – 学术实验型(论文附骨、未成熟):GyoiThon、DeepExploit、AutoPentest-DRL、ThreatDetect-ML、PentestAI、AI-OPS

星数最猛的是 PentestGPT(1.4 万★),其次是 CAI(约 9.4k★)NVIDIA 的 garak(8.3k★)。有意思吧——garak 不攻系统,专攻大模型,反而比一堆渗透工具还受欢迎。说明大伙儿现在最慌的,是自家模型会被骗。

二、对照总表

项目组织 / 作者★ 星数协议最近提交语言能力域
PentestGPTGreyDGL~14,133MIT2026-06Python渗透测试 Agent(自主+交互双模)
CAIaliasrobotics~9,400MIT*活跃Python多 Agent 攻防编排框架
garakNVIDIA~8,355Apache-2.02026-07PythonLLM 漏洞扫描器
user-scannerkaifcodec~2,555MIT2026-07Python邮件 / 用户名 OSINT
agentic_securitymsoedov~1,919Apache-2.02026-06PythonLLM 漏洞 / 红队扫描
HackingBuddyGPTipa-lab~1,165MIT2026-03Python对话式黑客实验框架
Pentest Copilotbugbasesecurity~1,061MIT2026-07TypeScript浏览器 AI 渗透助手
Nebulaberylliumsec~1,049BSD-2-Clause2026-06PythonAI 渗透测试助手
Tirrenotirrenotechnologies~1,457AGPL-3.02026-07PHP威胁检测 / 风险评分(UEBA)
Reconmapreconmap~938Apache-2.02026-07JS协作式安全运维平台
NVISO cyber-security-llm-agentsNVISOsecurity~373无声明2024-05( stale)JupyterLLM 安全 Agent 合集
AI_SOCzhadyz~132Other2026-05PythonAI 增强 SOC(多 Agent)
RedTeam-Agentktol1~62MIT(README)2026-04红队 / 内网渗透(MCP)

* CAI 的 MIT 仅限研究;拿它做生意(比如对外卖渗透服务)得另购商业许可。

三、进攻侧:让 AI 拿 scanner 的,有哪些

1. PentestGPT —— 当之无愧的流量王

星数 1.4 万,不是白给的。它把渗透测试拆成”推理 / 生成 / 解析”三段流水线,老版是人机协同,v1.0 之后能全自动跑:自己维护上下文、迭代攻击链,抓到 flag 或撞到上限才停。作者 GreyDGL 就是发 USENIX 2024 那篇论文的人。XBOW 验证集上成功率 86.5%(90/104),这数字在自主渗透里算能看了。

它好就好在——多模型通吃,OpenAI、Anthropic、Gemini、DeepSeek、Qwen、本地 Ollama 都接。缺点是:自主模式下会真去敲命令,别拿它扫没授权的东西。

2. CAI —— 想当”AI 安全的事实标准”

aliasrobotics 出品,PentestGPT 原班人马参与。它不只一个 Agent,是一整套多 Agent 编排框架:300+ 模型随便换,内置侦察 / 提权 / 隧道等工具,还带护栏(防提示注入、拦危险命令)。实战痕迹挺硬——HackTheBox、漏洞赏金、甚至真去测了 Unitree 机器人和 Dragos 工控 CTF。

9.4k 星,1077 次提交,活跃得很。最适合想”自己搭一套专属安全 Agent”的团队。

3. Nebula —— 渗透佬的 AI 副驾

berylliumsec 做的终端助手。侦察、记笔记、漏洞分析、出报告,一条龙。接 Nmap / ZAP,支持自托管 LLM(Ollama 本地跑,数据不出门)。它不抢渗透师的活,是帮你把繁琐的文档和初步研判吃掉。1k 星,BSD 协议,2026 年 6 月还在更。小团队没预算买 Pentera、Cobalt 那种商业平台的,拿它顶上正合适。

4. HackingBuddyGPT —— 实验室里长出来的

ipa-lab 的项目,口号是”50 行代码让道德黑客用上 LLM”。它的价值不在产品化,在可实验:Linux 提权、Windows 提权、Web 渗透都有现成 use-case,你继承一个 Agent 类就能改。744 次提交,有论文背书。适合教学和研究,别指望它开箱既战。

5. RedTeam-Agent —— 国产新秀,绑 MCP

ktol1 做的,2026 年 2 月才开张,星还少(62),但路子野:基于 Model Context Protocol,把 gogo、fscan、nuclei、impacket、BloodHound 等 15+ 工具串起来,让 LLM 直接化身内网渗透员。AD 攻击链(Kerberoast、BloodHound、中继)覆盖得全。README 写 MIT,但仓库 API 没填 license 字段,商用前自己确认下。

6. Pentest Copilot —— 浏览器里点一点

bugbasesecurity 出品,TypeScript 写的,跑在浏览器里。自然语言说”我想测这个”,它给具体命令、讲方法论、翻译漏洞的业务含义。最大的卖点是带新人: juniors 把它当师傅。1k 星,MIT,建议自建实例,别用公共版。

四、防御侧:帮蓝队喘口气的

7. AI_SOC —— 多 Agent 守 SOC

zhadyz 做的开源 SOC,把 LLM + 多 Agent 编排揉进 Wazuh、TheHive,用 Foundation-Sec-8B 做本地推理,配 RAG 检索安全知识库。132 星,还在长。属于”自己搭蓝队智能体”的参考实现,不是成品盒子。

8. Tirreno —— 开源 UEBA

tirrenotechnologies 的,PHP 写的,干用户行为分析、风险评分。在裸 SIEM 告警和昂贵的 UEBA 商业平台之间,它正好补那一档。AGPL-3.0 协议——注意了,AGPL 是强 Copyleft,你改了挂服务给人用,得把源码摊出来。1.4k 星,活跃。

9. Reconmap —— 渗透项目的管理后台

reconmap 这个,定位不在”AI 攻防”,在协作:一次渗透从侦察、执行、记漏洞到出报告,全生命周期管起来。带命令自动化和 AI 摘要。938 星,Apache-2.0,MSSP 同时跑多个项目时最有用。

五、专攻”大模型自己”的安全

这类工具不碰你的网络,专测你的 AI 会不会被绕、被泄、被越狱。

10. garak —— NVIDIA 的 LLM 体检中心

星数 8.3k,全仓库 4151 次提交,2026 年 7 月还在猛更,Apache-2.0。它像 nmap,只不过扫的是大模型:幻觉、数据泄露、提示注入、越狱、毒性、恶意代码生成……几十类探针。想给你家模型做安全评估,garak 基本是默认起点。

11. agentic_security —— LLM 漏洞 + 红队一体

msoedov 做的,1.9k 星,Apache-2.0。跟 garak 重叠不少,但更偏”fuzzing 聚合”和 Agent 攻击面。多模态攻击(图、声)也管。两者二选一或搭配都行。

12. NVISO cyber-security-llm-agents —— 思路集,非产品

NVISO 安全公司扔出来的 Agent 合集,Jupyter 写的,373 星,但 2024 年 5 月后就基本没动了。价值在参考:看人家怎么用 LLM 拼 adversary emulation 之类的安全任务。当教材看。

六、情报侧 & 学术实验型

13. user-scanner —— OSINT 一把梭

kaifcodec 的,2.5k 星,MIT,2026 年 7 月还很活跃。一把梭扫 295+ 向量(邮件 110+、用户名 185+),做社工排查、钓鱼溯源、攻击面画像。SOC 日常调查能省不少手功。但——自动侦察得先过你们公司的”可接受使用政策”,权限收好。

14. 学术实验型(GyoiThon / DeepExploit / AutoPentest-DRL / ThreatDetect-ML / PentestAI / AI-OPS)

这几位在 spark42 那篇 “Top 10” 里被点名,多为论文附骨或早期实验:基于 ML/强化学习的自动化渗透、威胁检测。星数和成熟度参差,有的年久失修。想做研究可顺藤摸瓜,生产环境别指望。

七、怎么选:给你一张速查

想直接上手做渗透,要成熟 + 社区大 → PentestGPTCAI。 – 要 AI 副驾、本地模型保隐私Nebula。 – 教学 / 自己改着玩实验HackingBuddyGPT。 – 内网 AD 红队、想绑 MCP 新玩法RedTeam-Agent( young,但方向对)。 – 给自家大模型做安全体检garak(首选)+ agentic_security(搭配)。 – 蓝队 SOC 智能化AI_SOC(自建参考)/ Tirreno(UEBA 成品感强)。 – 渗透项目管理Reconmap。 – 情报调查 / OSINTuser-scanner

八、几点实话

第一,星多不等于能打仗。CAI、PentestGPT 这种有实战记录的才靠得住;RedTeam-Agent、AI_SOC 还嫩,当探索用。

第二,协议要看清。Tirreno 是 AGPL,改了挂服务得开源;CAI 商用要买许可;NVISO 那堆连 license 都没填,商用前先问作者。

第三,别迷信”自主”。即便最猛的框架,复杂任务上还是半自动(人在回路)比全自动稳。CAI 自己都说:semi-autonomous + HITL 明显强于 fully autonomous。

第四,这些工具是双刃剑。你用来守,别人也能用来攻。下载、部署、出报告,全程留痕,别越界。

附:主要参考与来源

– spark42 博客《Top 10 Open-Source AI Agent Penetration Testing Projects》(2025-07) – Itera Research《10 open-source AI agents for cybersecurity》(2025-08) – CISOPick《Open Source AI Security Tools on GitHub Worth Deploying in 2026》(2026-04) – 各项目 GitHub 仓库页与 GitHub API(star / license / pushed_at,抓取于 2026-07-07~08) – 关键仓库:GreyDGL/PentestGPTaliasrobotics/caiNVIDIA/garakberylliumsec/nebulaipa-lab/hackingBuddyGPTktol1/RedTeam-Agentbugbasesecurity/pentest-copilotmsoedov/agentic_securitytirrenotechnologies/tirrenoreconmap/reconmapzhadyz/AI_SOCkaifcodec/user-scannerNVISOsecurity/cyber-security-llm-agents

发表回复

人生梦想 - 关注前沿的计算机技术 acejoy.com 🐾 步子哥の博客 🐾 背多分论坛 🐾 借一步网 🐾 智柴网 沪ICP备2024052574号-1