jpskill.com
🛠️ 開発・MCP コミュニティ

pentagi

PentAGIは、AIを活用した侵入テストを自動化し、脆弱性スキャンやセキュリティテスト環境の構築を支援、LLM搭載エージェントによる高度なセキュリティテストを実施するSkill。

📜 元の英語説明(参考)

Run AI-powered penetration testing with PentAGI. Use when a user asks to automate security testing, set up autonomous pentesting, deploy an AI-driven vulnerability scanner, build a self-hosted security testing platform, or conduct penetration tests with LLM-powered agents.

🇯🇵 日本人クリエイター向け解説

一言でいうと

PentAGIは、AIを活用した侵入テストを自動化し、脆弱性スキャンやセキュリティテスト環境の構築を支援、LLM搭載エージェントによる高度なセキュリティテストを実施するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o pentagi.zip https://jpskill.com/download/15246.zip && unzip -o pentagi.zip && rm pentagi.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/15246.zip -OutFile "$d\pentagi.zip"; Expand-Archive "$d\pentagi.zip" -DestinationPath $d -Force; ri "$d\pentagi.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して pentagi.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → pentagi フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

PentAGI

概要

PentAGI は、ペネトレーションテストのための完全自律型 AI エージェントシステムです。専門化された AI エージェント(調査、開発、インフラストラクチャ)が連携して、セキュリティ評価を計画、実行、および報告するマルチエージェントアーキテクチャをデプロイします。すべての操作は、20 以上のプロフェッショナルなセキュリティツール(nmap、metasploit、sqlmap、nikto、gobuster など)を備えたサンドボックス化された Docker コンテナで実行されます。エンゲージメント全体で永続的な学習を行うためのナレッジグラフ(Neo4j + Graphiti)、組み込みブラウザによるウェブインテリジェンス、および Grafana/Langfuse による包括的なモニタリングを備えています。セルフホスト型であり、データはインフラストラクチャ上に保持されます。

手順

ステップ 1: クイックデプロイメント

# リポジトリをクローンします
git clone https://github.com/vxcontrol/pentagi.git
cd pentagi

# 環境をコピーして構成します
cp .env.example .env
# .env — 必須の設定
# LLM プロバイダー (いずれかを選択)
OPENAI_API_KEY=sk-...                    # OpenAI
# ANTHROPIC_API_KEY=sk-ant-...           # Anthropic
# OLLAMA_SERVER_URL=http://host:11434    # ローカル Ollama

# メインエージェントのプライマリモデル
LLM_MODEL=gpt-4o                         # または claude-3-5-sonnet, llama3.1
LLM_PROVIDER=openai                       # openai, anthropic, ollama, bedrock, gemini, deepseek

# ウェブインテリジェンスの検索プロバイダー
TAVILY_API_KEY=tvly-...                   # Tavily (推奨)
# GOOGLE_SEARCH_API_KEY=...              # または Google Custom Search
# SEARXNG_URL=http://localhost:8080      # またはセルフホスト SearXNG

# セキュリティ — 本番環境ではこれらを変更してください
POSTGRES_PASSWORD=your-secure-password
SECRET_KEY=your-secret-key-min-32-chars
# フルスタックをデプロイします
docker compose up -d

# Web UI にアクセスします
open http://localhost:3000

このスタックは、React フロントエンド、Go バックエンド (GraphQL API)、pgvector を使用した PostgreSQL、Neo4j ナレッジグラフ、セキュリティツールコンテナ、ウェブスクレイパー、およびモニタリング (Grafana + Langfuse) をデプロイします。

ステップ 2: AI エージェントの構成

PentAGI は、評価で連携する専門エージェントのチームを使用します。

# エージェントアーキテクチャ (UI または API 経由で構成)
#
# プライマリエージェント (オーケストレーター)
#   ├── ターゲットを調査し、攻撃フェーズを計画します
#   ├── スペシャリストに委任します:
#   │   ├── 調査エージェント — OSINT、ウェブスクレイピング、CVE ルックアップ
#   │   ├── 開発エージェント — エクスプロイトの修正、ペイロードの作成
#   │   └── インフラストラクチャエージェント — コンテナ管理、ツール設定
#   ├── サンドボックス化されたコンテナでセキュリティツールを実行します
#   └── 脆弱性レポートを生成します
#
# 各エージェントは以下にアクセスできます:
#   - 20 以上のセキュリティツール (nmap, metasploit, sqlmap, nikto など)
#   - 調査用のウェブブラウザ
#   - 永続的なメモリ用のナレッジグラフ
#   - 以前のエンゲージメントからの学習

ステップ 3: Web UI 経由でペネトレーションテストを開始する

1. http://localhost:3000 を開きます
2. 新しいエンゲージメントを作成します:
   - ターゲット: IP アドレス、ドメイン、または CIDR 範囲
   - スコープ: テストするサービス/ポート
   - エンゲージメントのルール: 許可されていること (例: DoS 禁止、データ流出禁止)
   - 目的: 「完全なセキュリティ評価」または特定の焦点
3. AI エージェント:
   - 偵察を実行します (nmap, whois, DNS 列挙)
   - サービスとバージョンを識別します
   - 既知の脆弱性を検索します (CVE データベース)
   - 適切なツールを使用してエクスプロイトを試みます
   - 証拠とともに調査結果を文書化します
   - 脆弱性レポートを生成します

ステップ 4: GraphQL API 統合

// GraphQL 経由で PentAGI をセキュリティパイプラインに統合します
const PENTAGI_URL = 'http://localhost:3000/graphql'

// 新しいエンゲージメントを作成します
const createEngagement = await fetch(PENTAGI_URL, {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'Authorization': `Bearer ${API_TOKEN}`,
  },
  body: JSON.stringify({
    query: `
      mutation CreateTask($input: CreateTaskInput!) {
        createTask(input: $input) {
          id
          status
          createdAt
        }
      }
    `,
    variables: {
      input: {
        target: '192.168.1.0/24',
        objective: '内部ネットワークセグメントの包括的なセキュリティ評価を実行します。公開されているサービス、デフォルトの認証情報、未パッチの脆弱性、および潜在的な水平展開パスの特定に焦点を当てます。',
        scope: ['port-scan', 'service-enum', 'vuln-scan', 'web-app-test'],
        constraints: ['no-dos', 'no-data-exfil', 'business-hours-only'],
      },
    },
  }),
})

// 進捗状況を監視します
const checkStatus = await fetch(PENTAGI_URL, {
  method: 'POST',
  headers: { 'Content-Type': 'application/json', 'Authorization': `Bearer ${API_TOKEN}` },
  body: JSON.stringify({
    query: `
      query TaskStatus($id: ID!) {
        task(id: $id) {
          id
          status
          progress
          currentPhase
          findings {
            severity
            title
            description
            evidence
            remediation
          }
          logs {
            timestamp
            agent
            action
            output
          }
        }
      }
    `,
    variables: { id: engagement.id },
  }),
})

ステップ 5: ナレッジグラフ — 永続的な学習

# PentAGI は、Neo4j + Graphiti 経由でエンゲージメント全体の調査結果を記憶します
#
# 各エンゲージメントの後、ナレッジグラフは以下を保存します:
# - テクノロジースタックごとに見つかった脆弱性パターン
# - 成功したエクスプロイト手法
# - ネットワークトポロジの関係
# - サービスフィンガープリントとその既知の弱点
#
# 今後のエンゲージメントでは、エージェントはこの知識を照会して、以下を行います:
# - 同様のターゲットで以前に機能した攻撃ベクトルを優先します
# - 特定の構成で失敗することがわかっている手法をスキップします
# - 複数の評価にわたって調査結果を関連付けます
# - 組織全体のシステム上の問題を特定します

ステップ 6: モニタリングとレポート

# Grafana ダッシュボード — リアルタイムモニタリング
open http://localhost:3001
# ダッシュボードには以下が含まれます:
# - アクティブなエージェント操作とツール実行
# - トークン使用量と LLM コスト追跡
# - コンテナリソースの使用率
# - エンゲージメント

(原文がここで切り詰められています)
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

PentAGI

Overview

PentAGI is a fully autonomous AI agent system for penetration testing. It deploys a multi-agent architecture where specialized AI agents (research, development, infrastructure) collaborate to plan, execute, and report security assessments. All operations run in sandboxed Docker containers with 20+ professional security tools (nmap, metasploit, sqlmap, nikto, gobuster, etc.). Features a knowledge graph (Neo4j + Graphiti) for persistent learning across engagements, web intelligence via built-in browser, and comprehensive monitoring with Grafana/Langfuse. Self-hosted — your data stays on your infrastructure.

Instructions

Step 1: Quick Deployment

# Clone the repository
git clone https://github.com/vxcontrol/pentagi.git
cd pentagi

# Copy and configure environment
cp .env.example .env
# .env — Essential configuration
# LLM Provider (choose one)
OPENAI_API_KEY=sk-...                    # OpenAI
# ANTHROPIC_API_KEY=sk-ant-...           # Anthropic
# OLLAMA_SERVER_URL=http://host:11434    # Local Ollama

# Primary model for the main agent
LLM_MODEL=gpt-4o                         # or claude-3-5-sonnet, llama3.1
LLM_PROVIDER=openai                       # openai, anthropic, ollama, bedrock, gemini, deepseek

# Search provider for web intelligence
TAVILY_API_KEY=tvly-...                   # Tavily (recommended)
# GOOGLE_SEARCH_API_KEY=...              # or Google Custom Search
# SEARXNG_URL=http://localhost:8080      # or self-hosted SearXNG

# Security — change these in production
POSTGRES_PASSWORD=your-secure-password
SECRET_KEY=your-secret-key-min-32-chars
# Deploy the full stack
docker compose up -d

# Access the web UI
open http://localhost:3000

The stack deploys: React frontend, Go backend (GraphQL API), PostgreSQL with pgvector, Neo4j knowledge graph, security tools container, web scraper, and monitoring (Grafana + Langfuse).

Step 2: Configure AI Agents

PentAGI uses a team of specialized agents that collaborate on the assessment.

# Agent architecture (configured via UI or API)
#
# Primary Agent (Orchestrator)
#   ├── Researches target, plans attack phases
#   ├── Delegates to specialists:
#   │   ├── Research Agent — OSINT, web scraping, CVE lookup
#   │   ├── Development Agent — exploit modification, payload crafting
#   │   └── Infrastructure Agent — container management, tool setup
#   ├── Executes security tools in sandboxed containers
#   └── Generates vulnerability reports
#
# Each agent has access to:
#   - 20+ security tools (nmap, metasploit, sqlmap, nikto, etc.)
#   - Web browser for research
#   - Knowledge graph for persistent memory
#   - Previous engagement learnings

Step 3: Start a Penetration Test via Web UI

1. Open http://localhost:3000
2. Create a new engagement:
   - Target: IP address, domain, or CIDR range
   - Scope: Which services/ports to test
   - Rules of engagement: What's allowed (e.g., no DoS, no data exfiltration)
   - Objective: "Full security assessment" or specific focus
3. The AI agent:
   - Performs reconnaissance (nmap, whois, DNS enumeration)
   - Identifies services and versions
   - Searches for known vulnerabilities (CVE databases)
   - Attempts exploitation with appropriate tools
   - Documents findings with evidence
   - Generates a vulnerability report

Step 4: GraphQL API Integration

// Integrate PentAGI into your security pipeline via GraphQL
const PENTAGI_URL = 'http://localhost:3000/graphql'

// Create a new engagement
const createEngagement = await fetch(PENTAGI_URL, {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'Authorization': `Bearer ${API_TOKEN}`,
  },
  body: JSON.stringify({
    query: `
      mutation CreateTask($input: CreateTaskInput!) {
        createTask(input: $input) {
          id
          status
          createdAt
        }
      }
    `,
    variables: {
      input: {
        target: '192.168.1.0/24',
        objective: 'Perform a comprehensive security assessment of the internal network segment. Focus on identifying exposed services, default credentials, unpatched vulnerabilities, and potential lateral movement paths.',
        scope: ['port-scan', 'service-enum', 'vuln-scan', 'web-app-test'],
        constraints: ['no-dos', 'no-data-exfil', 'business-hours-only'],
      },
    },
  }),
})

// Monitor progress
const checkStatus = await fetch(PENTAGI_URL, {
  method: 'POST',
  headers: { 'Content-Type': 'application/json', 'Authorization': `Bearer ${API_TOKEN}` },
  body: JSON.stringify({
    query: `
      query TaskStatus($id: ID!) {
        task(id: $id) {
          id
          status
          progress
          currentPhase
          findings {
            severity
            title
            description
            evidence
            remediation
          }
          logs {
            timestamp
            agent
            action
            output
          }
        }
      }
    `,
    variables: { id: engagement.id },
  }),
})

Step 5: Knowledge Graph — Persistent Learning

# PentAGI remembers findings across engagements via Neo4j + Graphiti
#
# After each engagement, the knowledge graph stores:
# - Vulnerability patterns found per technology stack
# - Successful exploitation techniques
# - Network topology relationships
# - Service fingerprints and their known weaknesses
#
# In future engagements, the agent queries this knowledge to:
# - Prioritize attack vectors that worked before on similar targets
# - Skip techniques known to fail on specific configurations
# - Correlate findings across multiple assessments
# - Identify systemic issues across the organization

Step 6: Monitoring and Reporting

# Grafana dashboards — real-time monitoring
open http://localhost:3001
# Dashboards include:
# - Active agent operations and tool execution
# - Token usage and LLM cost tracking
# - Container resource utilization
# - Engagement timeline and progress

# Langfuse — LLM observability
open http://localhost:3002
# Track:
# - Agent reasoning chains
# - Prompt effectiveness
# - Token usage per engagement phase
# - Model performance comparison
# Export vulnerability report
curl -H "Authorization: Bearer $API_TOKEN" \
  "http://localhost:3000/api/v1/tasks/$TASK_ID/report" \
  -o vulnerability-report.pdf

# Report includes:
# - Executive summary
# - Detailed findings with CVSS scores
# - Evidence (screenshots, command output)
# - Remediation recommendations
# - Risk matrix

Guidelines

  • Always get written authorization before running PentAGI against any target. Unauthorized penetration testing is illegal.
  • Deploy on an isolated network segment — PentAGI's sandboxed containers contain offensive tools.
  • Use constraints to enforce rules of engagement — prevent DoS, data exfiltration, or out-of-scope testing.
  • Start with Ollama for local/private assessments — no data leaves your infrastructure.
  • The knowledge graph improves over time — run PentAGI consistently to build organizational security intelligence.
  • Review agent actions in real-time via the web UI — autonomous doesn't mean unsupervised.
  • PentAGI complements manual testing — use it for initial reconnaissance and known vulnerability scanning, then have humans investigate complex logic flaws.
  • Resource requirements: 8GB+ RAM, 4+ CPU cores. GPU optional (only for local LLM via Ollama).
  • Langfuse integration helps optimize LLM costs — track which models give best results per phase.