MCP Configs2026年5月12日·1 分钟阅读

pentest-ai — Offensive Security MCP for Claude Code

pentest-ai is a Python CLI and MCP server that lets Claude Code run verified probes, chain attack paths, and export reports for authorized testing.

Agent 就绪

这个资产会安全暂存

这个资产会先安全暂存。复制的指令会要求 Agent 读取暂存文件,并在激活脚本、MCP 配置或全局配置前先确认。

Stage only · 17/100策略:需暂存
Agent 入口
任意 MCP/CLI Agent
类型
Mcp Config
安装
Stage only
信任
信任等级:Established
入口
Asset
安全暂存命令
npx -y tokrepo@latest install f76cd84e-181d-5048-9a71-48fd466a37ca --target codex

先暂存文件;激活前需要读取暂存 README 和安装计划。

简介

pentest-ai 是 Python CLI + MCP server,可让 Claude Code 调用 list_probes/run_probe/http_request 逐步驱动探测,输出可复现的 PoC 与报告(仅限授权测试)。

  • 适合谁: 想让 LLM“逐步驱动探测”的授权测试场景,而不是黑盒扫描器
  • 可搭配: Claude Code 或任意 MCP 客户端;也可用 ptai 单独跑 CI;常见安全工具首次运行会自动安装(见 README)
  • 准备时间: 5–15 分钟

实战建议

  • GitHub:215 stars · 44 forks;最近更新 2026-05-12(GitHub API 验证)。
  • README 强调可迭代驱动:list_probes / run_probe / http_request 让 MCP 以“逐步可审计”的方式执行。
  • README 声称提供 47 个 MCP tools、200+ 安全工具封装(nmap/nuclei/ffuf/sqlmap/gobuster…),首次运行自动安装依赖。

主要内容

一个更“agent 安全”的渗透工作流可以这样搭:

  1. 先声明范围(域名/接口、登录方式、速率限制)再开始执行。
  2. 迭代驱动:先 list_probes,一次只跑一个 probe,有证据再升级动作。
  3. 追求 可复现 PoC:每个结论都以最小可复现实验证据收尾,避免“猜测式”报告。
  4. 把角色分清:
    • ptai 负责执行(跑 probes)
    • MCP 客户端负责推理与编排(Claude Code / Cursor 等)
  5. 需要做 CI 或定时扫描时,走 CLI 路径(ptai start …),并固定 provider/model,保证不同批次结果可对比。

核心收益是“可控”:你得到可重复的 probe 库 + MCP 接口,让 LLM 做编排而不是编造。

FAQ

只能用于授权测试吗? 答:是的。README 有 Responsible use 提示;只对自己拥有或明确授权的目标执行。

一定要 API Key 吗? 答:不一定。README 提到接入 Claude Code 的 MCP 后可用订阅执行;否则可按文档配置 API key(或走 LiteLLM)。

第一步建议怎么跑? 答:先从低风险的探测/信息收集开始,再按证据迭代:一次只跑一个 probe,确认结果后再升级动作。

🙏

来源与感谢

Source: https://github.com/0xSteph/pentest-ai > License: MIT > GitHub stars: 215 · forks: 44

讨论

登录后参与讨论。
还没有评论,来写第一条吧。

相关资产