penetration-testing

Web应用安全与渗透测试/CTF实用载荷及绕过方案集合

完全自主的AI黑客工具，用于在您的Web应用程序中发现真实漏洞。Shannon在无提示、源码感知的XBOW基准测试中实现了96.15%的成功率。

本代码库主要由Omar Santos（@santosomar）维护，包含数千项与道德黑客、漏洞赏金、数字取证与事件响应、人工智能安全、漏洞研究、漏洞利用开发、逆向工程等相关的资源。

✨ 为您的应用程序提供开源AI黑客工具 👨🏻‍💻

✨ 能够执行复杂渗透测试任务的全自主AI智能体系统

一款基于GPT赋能的渗透测试工具

九头蛇

攻击面管理平台

Nishang - 用于红队、渗透测试及攻击性安全测试的进攻型PowerShell工具。

Web 安全测试指南：面向 Web 应用程序与 Web 服务的开源安全测试综合指南

reNgine是专注于Web应用的自动化侦察框架，通过引擎实现高度可配置的流线化侦察流程，支持侦察数据关联整合、持续监控、数据库存储及简洁直观的用户界面，帮助渗透测试人员高效完成信息收集

为AI智能体设计的754项结构化网络安全技能，映射至五大框架：MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、D3FEND及NIST AI RMF，遵循agentskills.io标准，兼容Claude Code、GitHub Copilot、Codex CLI、Cursor、Gemini CLI及20余个平台，覆盖26个安全领域，采用Apache 2.0许可。

收集并更新所有可用的最新CVE及其概念验证代码

Complete Mandiant Offensive VM（Commando VM），一款完全可定制的基于Windows的渗透测试虚拟机发行版。commandovm@mandiant.com

HexStrike AI MCP代理服务器是一款高级MCP服务器，支持AI代理（Claude、GPT、Copilot等）自主运行150多种网络安全工具，实现自动化渗透测试、漏洞发现、漏洞赏金自动化和安全研究。无缝连接大语言模型与现实世界攻击性安全能力。

新一代网络扫描器

一款面向安全的现代编排引擎

自动化渗透测试框架 - 开源漏洞扫描器 - 漏洞管理平台

仅需发送链接，即可从目标手机前置摄像头或电脑摄像头抓取图像及GPS定位。

CyberStrikeAI 是一款基于 Go 语言构建的 AI 原生安全测试平台。它集成了 100 多种安全工具、一个智能编排引擎、基于预定义安全角色的角色化测试、具备专业测试技能的技能系统以及全面的生命周期管理功能。

云原生技术攻防知识百科全书

PentestAgent 是一个用于黑盒安全测试的 AI 智能体框架，支持漏洞赏金、红队行动和渗透测试工作流程。

使用AI智能体集群进行自主渗透测试。通过ReAct推理协调侦察、分类、利用和报告专家——支持漏洞赏金、持续监控和CTF模式。基于Go语言、Claude API及7种以上原生安全工具构建。

一款专为练习Web应用、API、AI集成应用安全测试及安全代码审查而设计的故意存在漏洞的银行应用。它包含现实应用中常见的漏洞，是安全专业人员、开发者和爱好者学习渗透测试与安全编码实践的理想平台。