[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"project-81042":3},{"id":4,"name":5,"fullName":6,"owner":7,"repo":5,"description":8,"homepage":9,"htmlUrl":9,"language":10,"languages":9,"totalLinesOfCode":9,"stars":11,"forks":12,"watchers":13,"openIssues":14,"contributorsCount":14,"subscribersCount":14,"size":14,"stars1d":15,"stars7d":16,"stars30d":17,"stars90d":14,"forks30d":14,"starsTrendScore":18,"compositeScore":19,"rankGlobal":9,"rankLanguage":9,"license":20,"archived":21,"fork":21,"defaultBranch":22,"hasWiki":21,"hasPages":21,"topics":23,"createdAt":9,"pushedAt":9,"updatedAt":24,"readmeContent":25,"aiSummary":26,"trendingCount":14,"starSnapshotCount":14,"syncStatus":27,"lastSyncTime":28,"discoverSource":29},81042,"vibe-pentest","ok-helloworld\u002Fvibe-pentest","ok-helloworld","Vibe Pentest（AI 渗透测试）是一款基于 AI Agent 架构的自动化渗透测试工具，采用多 Agent 并行执行架构，能够对 Web 应用、API、管理后台等进行全面的黑盒渗透测试（包括业务逻辑漏洞评估），输出稳定可靠的安全报告，并提供可落地的整改建议。",null,"Python",121,13,28,0,6,68,93,29,3.44,"GNU Affero General Public License v3.0",false,"main",[],"2026-06-12 02:04:10","# Vibe Pentest\n\n> 当前版本：v1.0.6\n\nVibe Pentest（AI 渗透测试） 是一款基于 AI Agent 架构的自动化渗透测试工具，采用多 Agent 并行执行架构，能够对 Web 应用、API、管理后台等进行全面的黑盒渗透测试（包括业务逻辑漏洞评估），输出稳定可靠的安全报告，并提供可落地的整改建议。\n\n## 目录\n\n- [适合谁](#适合谁)\n- [注意事项](#注意事项)\n- [快速开始](#快速开始)\n- [环境运行依赖](#环境运行依赖)\n- [报告导出](#报告导出)\n- [提示词示例](#提示词示例)\n- [流程示意图](#流程示意图)\n\n## 适合谁\n\n适合以下两类用户：\n\n- 软件开发人员，用于 Web 相关的安全自检\n- 网络安全从业者，用于第三方 Web 安全检测\n\n建议使用 AI 智能体加载本技能，并配合本技能包含的检测脚本使用：\n\n- 3分钟使用教程视频：[bilibili.com\u002Fvideo\u002FBV1RiGX6rESQ\u002F](https:\u002F\u002Fwww.bilibili.com\u002Fvideo\u002FBV1RiGX6rESQ\u002F)\n- 优先推荐编程类智能体：Qoder、Trae、Claude Code、Codex 等\n- 次选：龙虾类智能体\n\n## 注意事项\n\n- 遵守法规：仅用于授权的安全测试，请勿用于非法用途\n- 不建议直接对生产系统进行测试：若需对生产系统渗透，建议先做好数据备份\n\n## 快速开始\n\n1. 准备 Python 3.10 及以上环境\n2. 安装依赖并准备 Chromium\n3. 按提示词示例向智能体提供目标、授权声明、测试账号和测试范围\n4. 执行完整流程或直接在已有 `workspace\u002F` 数据上生成最终报告\n\n安装命令：\n\n```bash\npip install playwright python-docx matplotlib requests urllib3 argparse httpx charset-normalizer chardet\nplaywright install chromium\n```\n\n## 环境运行依赖\n\n### Python\n\n建议使用 Python 3.10+\n\n### 额外组件\n\n- 默认自带 Windows 环境下可运行的爬虫工具 `tools\u002Fkatana`\n- 如果是其他操作系统，可参考 `tools\u002Fkatana_downloads.json` 获取对应版本\n- 需要可用的 Chromium 浏览器环境，供 Playwright 登录提取凭证，方便开展提供授权登录的渗透测试\n\n### 多 Agent 智能体\n\n- 参考 `sub_agent.md` 创建多智能体，可有效提高渗透测试速度和质量\n\n## 报告导出\n\n输出结果位于 `workspace\u002F` 工作目录，可以使用以下命令手工执行报表生成：\n\n```bash\npython report_renderers\u002Fgenerate_html.py workspace\u002Freport_{timestamp}.json workspace\u002Freport_result\u002Fsecurity-assessment-report.html\npython report_renderers\u002Fgenerate_report.py workspace\u002Freport_{timestamp}.json workspace\u002Freport_result\u002Fsecurity-assessment-report.docx\n```\n\n## 提示词示例\n\n### 1. 标准授权测试\n\n```text\n使用 vibe-pentest 对以下目标进行渗透测试：\n\n目标 URL: https:\u002F\u002Fexample.com\n授权声明: 已获得书面授权，授权范围包含该目标全部接口和页面\n测试账号（1个）:\n账号：admin\n密码：123456\n登录方式：你调用脚本打开浏览器，我手动输入账号密码登录\n\n总原则：\n1. 所有渗透子 Agent 必须主动深挖，不得等我提示。\n2. 使用 `scripts\u002Frun_katana.py` 调用 katana 爬虫（katana 须在沙箱外运行），如果爬虫时长超过20分钟，可主动停止爬虫，等待 5 秒后获取 crawl_summary.json、crawled_anonymous.jsonl 等文件的爬虫结果，爬虫结果为空或20秒内结束需重新执行katana爬虫\n3. 不允许把“发现入口”当成完成；必须继续测试同功能族下的二级、三级动作、隐藏参数、批量操作、详情页、导出页、删除页、上传页、预览页、恢复页等。只要有功能入口，就必须做对应漏洞测试，不能因为看起来普通就跳过。\n4. 不允许因为测试失败就直接停止，需要基于失败原因尝试 2-3 次绕过检查。\n\n铁律：允许对测试过程中自己创建的数据、自己上传的文件、自己插入的记录做删除、更新、清理操作，以便验证删除、编辑、恢复、回收类漏洞；禁止对原始业务数据、他人数据、生产数据做破坏性操作。允许上传文件进行文件上传测试。\n\n请按 vibe-pentest 流程执行：\nPhase 0 指纹识别 → Phase 0.5 后台入口扫描 → Phase 1 确认授权 → Phase 2 浏览器登录提取凭证 → Phase 3 Katana 爬虫 → Phase 4 数据清洗 → Phase 4.5 攻击面映射 → Phase 5 使用脚本（prepare_agent_findings.py）预生成骨架文件+分发 6 个 Agent 并行渗透测试 → Phase 5.5 攻击链分析 → Phase 5.6 漏洞证据复查 → Phase 6 调用 generate_report.py 生成报告 → 最后把 HTML 和 Word 输出到当前目录的 workspace\u002F，并进行格式检查。\n```\n\n### 2. 多账号并行测试（便于测试越权类漏洞）\n\n```text\n使用 vibe-pentest 对以下目标进行渗透测试：\n\n目标 URL: https:\u002F\u002Fexample.com\n授权声明: 已获得书面授权，允许对该目标全站和全部子路径进行测试\n测试账号（2个）:\n1. 普通用户账号\n2. 管理员账号\n登录方式：你调用脚本打开浏览器，我手动输入账号密码登录\n\n总原则：\n1. 所有渗透子 Agent 必须主动深挖，不得等我提示。\n2. 使用 `scripts\u002Frun_katana.py` 调用 katana 爬虫（katana 须在沙箱外运行），如果爬虫时长超过20分钟，可主动停止爬虫，等待 5 秒后获取 crawl_summary.json、crawled_anonymous.jsonl 等文件的爬虫结果，爬虫结果为空或20秒内结束需重新执行katana爬虫\n3. 不允许把“发现入口”当成完成；必须继续测试同功能族下的二级、三级动作、隐藏参数、批量操作、详情页、导出页、删除页、上传页、预览页、恢复页等。只要有功能入口，就必须做对应漏洞测试，不能因为看起来普通就跳过。\n4. 不允许因为测试失败就直接停止，需要基于失败原因尝试 2-3 次绕过检查。\n\n铁律：允许对测试过程中自己创建的数据、自己上传的文件、自己插入的记录做删除、更新、清理操作，以便验证删除、编辑、恢复、回收类漏洞；禁止对原始业务数据、他人数据、生产数据做破坏性操作。允许上传文件进行文件上传测试。\n\n请重点关注：\n1. Phase 4.5 根据指纹识别结果动态调整 Agent 策略\n2. Phase 5 使用脚本（prepare_agent_findings.py）预生成骨架文件，让 6 个 Agent 并行执行，将真实结果回填骨架文件\n3. Phase 5.5 输出跨 Agent 攻击链\n4. Phase 5.6 对 confirmed 漏洞逐条复查 HTTP 证据\n5. Phase 6 生成 `workspace\u002Freport.json` 后，再导出 HTML 和 DOCX 并检查格式\n```\n\n### 3. 仅生成最终报告\n\n```text\n使用 vibe-pentest 对已完成的 findings 生成最终报告。\n\n输入：\n- 当前目录下的 workspace\u002F 目录中已有 fingerprint.json、targets.txt、sessions、findings\n- 不再重新扫描\n\n要求：\n- 直接执行 Phase 5.5、Phase 5.6、Phase 6\n- 输出稳定的 workspace\u002Freport.json\n- 使用同一份 workspace\u002Freport.json 导出 HTML 和 Word\n- 最后检查 JSON、HTML、DOCX 的格式完整性\n```\n\n---\n\n## 流程示意图\n\n![流程示意图](vibe-pentest_v1.0.png)\n","Vibe Pentest 是一款基于 AI Agent 架构的自动化渗透测试工具，能够对 Web 应用、API 和管理后台进行全面的黑盒渗透测试。其核心功能包括多 Agent 并行执行架构，支持业务逻辑漏洞评估，并能输出详细的安全报告和整改建议。技术上，Vibe Pentest 采用 Python 编写，依赖于 Playwright 和 Chromium 等组件来实现自动化测试流程。该工具适用于软件开发人员进行 Web 安全自检以及网络安全从业者进行第三方 Web 安全检测。使用时需注意遵守相关法律法规，且不建议直接对生产系统进行测试。",2,"2026-06-11 04:03:17","CREATED_QUERY"]