PentAGI: Der autonome KI-Agent, der für Sie hackt (Vollständiger Leitfaden und Test 2026)

Ein KI-System, das in der Lage ist, einen vollständigen Pentest ohne menschliches Eingreifen durchzuführen. Das ist das Versprechen von PentAGI, einem Open-Source-Projekt, das Anfang 2026 in die Landschaft der Cybersicherheit eingebrochen ist. Mit mehr als 12.500 Sternen auf GitHub, einer ausgeklügelten Multi-Agenten-Architektur und der Integration von über zwanzig professionellen Tools für offensive Sicherheit weckt das von VXControl entwickelte Projekt ebenso viel Begeisterung wie berechtigte Fragen. Handelt es sich um eine Revolution im Pentest oder lediglich um ein weiteres Tool in einem ohnehin gesättigten Ökosystem? Hier ist unsere vollständige Analyse.

Der Name PentAGI ist eine Verdichtung seines Anspruchs: Penetration testing Artificial General Intelligence. Das Projekt präsentiert sich als vollständig autonomes KI-Agentensystem, das in der Lage ist, komplexe Pentest-Aufgaben mithilfe eines Terminals, eines Browsers, eines Code-Editors und externer Suchsysteme auszuführen. Konkret beschreiben Sie ihm ein Ziel, und das System übernimmt den Rest: Reconnaissance, Portscan, Identifizierung von Schwachstellen, Exploitation-Versuch und Berichterstellung.

Das Projekt wurde Anfang 2025 von VXControl ins Leben gerufen, einer auf GitHub aktiven Organisation, die auf Sicherheits-Tools spezialisiert ist. Die jüngste Version, die v1.2.0, wurde am 25. Februar 2026 veröffentlicht. Unter der MIT-Lizenz vertrieben, ist PentAGI vollständig kostenlos und selbst hostbar. Die einzigen potenziellen Kosten betreffen die Nutzung von Cloud-Sprachmodellen (OpenAI, Anthropic), aber das Tool unterstützt auch lokale Modelle über Ollama, was eine vollständig kostenlose Nutzung ermöglicht.

Die Aufnahme in der Community war explosiv. Das GitHub-Repository hat 12.500 Sterne und 1.600 Forks erreicht und sich damit unter die beliebtesten Repositories seines Veröffentlichungsmonats gehoben. In den sozialen Netzwerken war die Viralität sofort gegeben.

Dieser Tweet, tausendfach geteilt, fasst die vorherrschende Stimmung zusammen: „Jemand hat gerade ein vollständig autonomes KI-Red-Team als Open Source veröffentlicht. Mehrere KI-Agenten, die untereinander kommunizieren, um ein Ziel zu hacken. Null menschliches Eingreifen." Eine Behauptung, die einer Nuancierung bedarf, wie wir später sehen werden.

Was PentAGI wirklich von seinen Vorgängern wie PentestGPT unterscheidet, ist seine Multi-Agenten-Architektur. Während ein klassisches Tool ein einziges Sprachmodell verwendet, um einen menschlichen Operator zu leiten, orchestriert PentAGI mehr als dreizehn spezialisierte Agenten, jeder mit spezifischen Fähigkeiten und Berechtigungen.

Die Architektur beruht auf einer präzisen Arbeitsteilung, inspiriert vom Funktionieren eines echten Pentest-Teams:

Das grundlegende Prinzip ist das des geringsten Privilegs: Jeder Agent sieht nur die Tools, die er benötigt. Der Forscher kann Websuchen und DNS-Abfragen ausführen, aber keine Exploits starten. Der Pentester kann Nmap und Metasploit verwenden, hat aber keinen Zugriff auf das Schreiben beliebiger Dateien. Diese Isolation ist im Go-Code des Backends über ein dediziertes Berechtigungsregister implementiert, in dem jeder Versuch, ein nicht autorisiertes Tool aufzurufen, blockiert und protokolliert wird.

Über die bloße Orchestrierung hinaus integriert PentAGI ein dreistufiges Gedächtnissystem. Das Langzeitgedächtnis, gespeist durch PostgreSQL und pgvector, speichert die Suchergebnisse und die Ansätze, die in der Vergangenheit funktioniert haben. Das Arbeitsgedächtnis bewahrt den aktuellen Kontext der Mission, die aktiven Ziele und den Zustand des Systems. Das episodische Gedächtnis archiviert die vergangenen Aktionen, ihre Ergebnisse und die identifizierten Erfolgsmuster.

Das Ganze wird durch einen Wissensgraphen ergänzt, der von Neo4j und Graphiti gespeist wird, und es dem System ermöglicht, die semantischen Beziehungen zwischen den während eines Tests entdeckten Elementen zu verfolgen. Wenn ein Scan beispielsweise einen verwundbaren Dienst auf einem bestimmten Port aufdeckt, kann der Graph diese Information mit bekannten CVEs, verfügbaren Exploits und ähnlichen Konfigurationen verknüpfen, die in früheren Missionen angetroffen wurden. Diese Fähigkeit zum adaptiven Lernen ist es, was es dem System theoretisch ermöglicht, sich im Laufe der Verwendungen zu verbessern.

Eine zentrale technische Herausforderung für jedes LLM-basierte System ist das Kontextmanagement. Pentests erzeugen erhebliche Datenmengen: Scan-Logs, Serverantworten, Quellcode usw. PentAGI verwendet eine Technik der „chain summarization", um die Zwischenergebnisse zu komprimieren und einen relevanten Kontext im Token-Fenster des Modells aufrechtzuerhalten, mit einer Unterstützung von bis zu 200.000 Tokens, je nach verwendetem Anbieter.

Einer der großen Vorteile von PentAGI ist seine native Integration mit den offensiven Standard-Tools der Branche. Das System bringt mehr als zwanzig professionelle Sicherheits-Tools mit, die alle in einem Docker-Container ausgeführt werden, der auf dem Kali-Linux-Image von VXControl basiert.

Unter den integrierten Tools finden sich die unverzichtbaren Klassiker:

• Nmap: der Referenz-Port- und Dienstscanner, eingesetzt in der Reconnaissance-Phase

• Metasploit Framework: die umfangreichste Exploitation-Plattform auf dem Markt

• sqlmap: spezialisiert auf die Erkennung und Ausnutzung von SQL-Injections

• Nikto: Webschwachstellenscanner

• Gobuster / Dirbuster: Tools zur Entdeckung von Verzeichnissen und versteckten Dateien

• Hydra: Brute-Force-Angriff auf Authentifizierungsprotokolle

Der Pentester-Agent von PentAGI begnügt sich nicht damit, diese Tools zu starten: Er interpretiert ihre Ergebnisse, passt seine Strategie an die erhaltenen Antworten an und verkettet die Schritte logisch. Beispielsweise löst ein Nmap-Scan, der einen Webserver auf Port 443 aufdeckt, automatisch einen Nikto-Scan aus, gefolgt von einem Versuch der Verzeichniserkennung und anschließend einer Analyse der potenziellen Schwachstellen.

Über die offensiven Tools hinaus integriert PentAGI sieben externe Suchsysteme: Tavily, Traversaal, Perplexity, DuckDuckGo, Google Custom Search, Sploitus (spezialisiert auf die Suche nach Exploits) und SearXNG. Diese Fähigkeit ermöglicht es dem System, in Echtzeit nach Informationen über kürzlich veröffentlichte Schwachstellen, spezifische CVEs oder an das analysierte Ziel angepasste Exploitation-Techniken zu suchen.

Ein isolierter Webbrowser (Scraper) vervollständigt dieses Arsenal und ermöglicht es dem Agenten, Informationen direkt von Webseiten, technischer Dokumentation oder Administrationsportalen zu sammeln.

Die Architektur von PentAGI folgt einem modernen Microservices-Modell mit einer klaren Trennung zwischen den Komponenten:

Die Wahl von Go für das Backend ist nicht zufällig. Die Sprache bietet hervorragende Leistung für das nebenläufige Management der Agenten und für asynchrone Aufgabenwarteschlangen, zwei kritische Elemente in einem Multi-Agenten-System.

Eine der interessantesten architektonischen Entscheidungen von PentAGI ist seine Agnostik gegenüber Sprachmodellen. Über LiteLLM unterstützt das System mehr als zwölf Anbieter, was einen erheblichen Vorteil darstellt. Sie können die neuesten Modelle von OpenAI (GPT-5.2, o4-mini), Anthropic (Claude Opus 4.6, Claude Sonnet 4.6), Google (Gemini 3.1 Pro, Gemini 2.5 Flash) verwenden, aber auch über Ollama selbst gehostete Modelle (Llama 3.1, Qwen 3.5-27B) oder Aggregatoren wie OpenRouter und DeepInfra.

Diese Flexibilität ermöglicht es, Kosten und Leistung an den Bedarf anzupassen: ein kostenloses lokales Modell für die Vortests, ein Frontier-Modell für kritische Missionen. Die vom Team veröffentlichten Benchmarks zeigen, dass vLLM in Kombination mit Qwen 3.5-27B-FP8 etwa 13.000 Tokens pro Sekunde bei der Prompt-Verarbeitung und 650 Tokens pro Sekunde bei der Generierung erreicht, auf einem Setup mit vier RTX-5090-GPUs.

Die Installation von PentAGI soll zugänglich sein. Die erforderliche Mindestkonfiguration ist bescheiden: 2 vCPUs, 4 GB RAM und 20 GB Speicher, dazu Docker und Docker Compose.

Der einfachste Weg, PentAGI bereitzustellen, ist die Verwendung des offiziellen Installers:

mkdir -p pentagi && cd pentagi
wget -O installer.zip https://pentagi.com/downloads/linux/amd64/installer-latest.zip
unzip installer.zip
sudo ./installer

Der Installer ist verfügbar für Linux (amd64, arm64), Windows (amd64) und macOS (Intel und Apple Silicon).

Für Benutzer, die volle Kontrolle bevorzugen, besteht die manuelle Methode darin, die Datei docker-compose.yml und die Konfigurationsdatei .env abzurufen, die API-Schlüssel Ihres LLM-Anbieters einzutragen und dann alles zu starten:

docker compose up -d

Die Weboberfläche ist anschließend unter https://localhost:8443 mit den Standard-Zugangsdaten erreichbar. Optionale Stacks ermöglichen das Hinzufügen von Langfuse (LLM-Analytics), Graphiti (Wissensgraph) und vollständiger Observability (Grafana, Jaeger, Loki) über zusätzliche Docker-Compose-Dateien.

Diese scheinbare Einfachheit ist jedoch zu relativieren. Wie der Sicherheitsforscher Hafiq Iqmal in seiner Analyse auf InfoSec Write-ups betont, verdient das Versprechen von „null menschlichem Eingreifen" ein Sternchen: Man muss dennoch drei Datenbanken konfigurieren, API-Schlüssel für ein Sprachmodell bereitstellen und das Ziel präzise definieren. Das ist keine Software, die man mit einem Klick startet.

Wenn ein KI-Tool dafür konzipiert ist, Systeme zu hacken, wird die Frage seiner eigenen Sicherheit zentral. Das Team von PentAGI hat mehrere Schutzschichten eingerichtet, die es verdienen, detailliert betrachtet zu werden, und die übrigens von SitePoint als Beispiel für ein Sicherheitsmodell für autonome Agenten genannt werden.

Alle offensiven Operationen werden in isolierten Docker-Containern mit strengen Einschränkungen ausgeführt:

• Der Container läuft als Benutzer nobody (UID 65534), niemals als root

• Das Wurzeldateisystem ist schreibgeschützt

• Alle Linux-Capabilities werden entfernt (cap_drop: ALL), nur NET_RAW wird bei Bedarf hinzugefügt

• Ein angepasstes seccomp-Profil schränkt die erlaubten Systemaufrufe ein

• Die Ressourcen sind begrenzt (1 CPU, 512 MB RAM standardmäßig)

• Das Netzwerk ist segmentiert: Der Ausführungscontainer kann nur die autorisierten Ziele erreichen

Für Hochrisiko-Operationen (Shell-Ausführung, Start eines Exploits, Privilegieneskalation, Löschung von Ressourcen) implementiert PentAGI ein System der menschlichen Freigabe. Die React-Oberfläche zeigt die ausstehenden Aktionen an und ermöglicht es dem Operator, jede sensible Operation zu genehmigen oder abzulehnen. Bei einem Timeout (300 Sekunden standardmäßig) wird die Aktion automatisch abgelehnt: Das System nimmt standardmäßig ein „fail-closed"-Verhalten an.

Jeder LLM-Prompt, jeder Tool-Aufruf und jede Aktion im Container werden in einem strukturierten Format protokolliert, das die Agent-Kennung, die Sitzung, die Parameter, den Risikoscore und die Ausführungszeit enthält. Diese vollständige Nachvollziehbarkeit ist für Audit und Compliance unerlässlich.

PentAGI entwickelt sich nicht im luftleeren Raum. Der Markt für KI-automatisierte Pentests ist 2026 in vollem Aufschwung. So positioniert es sich gegenüber den wichtigsten Alternativen:

Der Hauptvorteil von PentAGI liegt auf der Hand: Es ist die einzige vollständig kostenlose und Open-Source-Lösung, die ein solches Maß an Autonomie bietet. Sie behalten die volle Kontrolle über Ihre Daten, können den Quellcode auditieren und das Tool an Ihre Bedürfnisse anpassen. Im Gegenzug bieten kommerzielle Lösungen wie NodeZero.ai und Pentera professionellen Support, ausgereifte Enterprise-Integrationen und in Produktionsumgebungen erprobte Ergebnisse.

Der relevanteste Vergleich in der Open-Source-Welt bleibt PentestGPT, das 11.000 Sterne auf GitHub angesammelt hat. Aber PentestGPT funktioniert eher wie ein Assistent, der einen menschlichen Operator leitet, während PentAGI mit seiner Multi-Agenten-Architektur und seiner integrierten Ausführungsumgebung auf vollständige Autonomie abzielt.

Trotz der Begeisterung ist es wichtig, PentAGI nüchtern zu betrachten. Die von Ostorlab durchgeführte Analyse, die acht Open-Source-KI-Pentest-Tools testete, hat gezeigt, dass PentAGI aufgrund von Konfigurationsproblemen bei bestimmten Tests scheitern konnte. Die offenen GitHub-Issues erwähnen Docker-Fehler, LLM-Unterbrechungen und mitunter wenig informative Berichte.

Die fortgeschrittene Überwachung der Agenten verbessert zwar laut internen Benchmarks die Qualität der Ergebnisse um den Faktor zwei, vervielfacht aber auch die Ausführungszeit und den Token-Verbrauch um das Zwei- bis Dreifache. Für Modelle unter 32 Milliarden Parametern wird diese Überwachung vom Team als „essenziell" beschrieben, was darauf hindeutet, dass kleine Modelle allein für zuverlässige Ergebnisse nicht ausreichen.

PentAGI ist ausschließlich für die autorisierte und ethische Nutzung konzipiert. Die Verwendung auf Systemen ohne ausdrückliche Genehmigung stellt in nahezu allen Rechtsordnungen eine Straftat dar. Das Projekt zeigt diesen Warnhinweis deutlich an, aber die Natur eines so zugänglichen und mächtigen Tools wirft Fragen auf. Anders als ein zertifizierter menschlicher Pentester hat ein KI-Agent kein eigenes ethisches Urteilsvermögen und überprüft nicht, ob der autorisierte Geltungsbereich über das hinaus eingehalten wird, was ihm angezeigt wird.

Die grundlegende Frage ist die, die viele Cybersicherheitsexperten stellen: Ersetzt PentAGI einen menschlichen Pentester? Die Antwort lautet im März 2026 nein. Wie die Analyse von Penligent hervorhebt, ist ein Pentest keine einzelne Aktion, sondern eine Kette von Urteilen. Ein menschlicher Tester beobachtet ein Login-Formular, schließt auf ein wahrscheinliches Authentifizierungsschema, bemerkt eine sekundäre API-Route, formuliert eine Hypothese zur Rollenverwechslung, bestätigt die Sitzungsübergänge und dokumentiert den Bug reproduzierbar. Ein System, das nur an einem Punkt dieser Kette hilft, leistet Assistenz, keinen Pentest im vollständigen Sinn.

PentAGI stellt dennoch einen bedeutenden Fortschritt bei der Automatisierung dieser Kette dar. Für unterbesetzte Sicherheitsteams kann es als Tool für fortgeschrittene Reconnaissance dienen, als intelligenter Scanner, der über die Rohergebnisse hinausgehen kann, und als Triage-System, das das Rauschen reduziert, damit sich die Analysten auf die kritischsten Schwachstellen konzentrieren können.

PentAGI fügt sich in einen grundlegenden Trend ein: die Konvergenz zwischen offensiver Automatisierung, Sicherheit von KI-Anwendungen und beweisbasierter Validierung. 2026 nutzen laut Bugcrowd bereits 82% der Hacker KI in ihren Workflows, hauptsächlich für Automatisierung, Code-Analyse und das Auflösen komplexer Situationen.

Das Projekt von VXControl hat das Verdienst, diese Technologie für alle zugänglich zu machen, sie über Open Source zu demokratisieren und eine Referenzarchitektur für sichere autonome Agenten vorzuschlagen. Mit seinen dreizehn spezialisierten Agenten, seinen mehreren Sicherheitsschichten und seiner Flexibilität bei der Wahl der Sprachmodelle ist PentAGI weniger ein fertiges Produkt als eine außerordentlich ehrgeizige Experimentierplattform.

Für Cybersicherheitsexperten verdient das Tool, getestet, verstanden und verfolgt zu werden. Für Unternehmen ersetzt es noch kein professionelles Audit, aber es bietet einen eindrucksvollen Vorgeschmack darauf, was der Pentest in den kommenden Jahren sein wird: schneller, kontinuierlicher und zunehmend autonomer. Die wahre Frage ist nicht mehr, ob die KI die Pentests verändern wird, sondern wie schnell.