PentestGPT: 這是什麼、解決了什麼問題以及為什麼它正受到關注

解決了什麼問題

PentestGPT 旨在自動化滲透測試和 Capture The Flag (CTF) 挑戰的複雜過程。它透過使用 AI 在 Web、Crypto、Reversing、Forensics 和 PWN 等各種類別中推理安全挑戰，從而減少識別漏洞和獲取 flag 的手動工作量。

如何運作

該專案提供兩種主要的運作模式：

1. Autonomous Agent：一個在持續迭代迴圈中運行的代理管線。它維護一個上下文文件來追蹤進度，並且如果達到限制，可以帶著先前的上下文重新啟動，直到獲取 flag 或達到最大迭代限制為止。
2. Interactive Mode (Legacy)：一個人機協作系統，使用三個協作的 LLM 會話（推理、生成和解析）來維護一個滲透測試任務樹 (PTT)，同時由使用者提供方向。

對象是誰

想要自動化漏洞發現和漏洞利用開發的安全研究人員、滲透測試人員以及 CTF 玩家。

重點摘要

• Autonomous Execution：能夠獨立運行以解決挑戰，並具有會話持久化功能以儲存和恢復工作。
• Broad Category Support：處理各種安全領域，包括權限提升 (privilege escalation) 和鑑識 (forensics)。
• Multi-LLM Compatibility：互動模式支援廣泛的提供商，包括 OpenAI、Anthropic、Google Gemini、DeepSeek、xAI、Qwen、Moonshot 以及透過 Ollama 運行的本地模型。
• Proven Performance：在 XBOW 驗證套件上達到了 86.5% 的成功率。