PentAGI: el agente de IA autónomo que hackea por ti (guía completa y análisis 2026)

Un sistema de IA capaz de llevar a cabo un test de intrusión completo sin intervención humana. Esa es la promesa de PentAGI, un proyecto open source que ha irrumpido en el panorama de la ciberseguridad a principios de 2026. Con más de 12.500 estrellas en GitHub, una arquitectura multiagente sofisticada y la integración de más de veinte herramientas profesionales de seguridad ofensiva, el proyecto desarrollado por VXControl despierta tanto entusiasmo como cuestionamientos legítimos. ¿Hay que verlo como una revolución en el pentest, o simplemente como una herramienta más en un ecosistema ya saturado? Aquí está nuestro análisis completo.

El nombre PentAGI es un compendio de su ambición: Penetration testing Artificial General Intelligence. El proyecto se presenta como un sistema de agentes de IA enteramente autónomo, capaz de realizar tareas complejas de pentest utilizando un terminal, un navegador, un editor de código y sistemas de búsqueda externos. En la práctica, le describes un objetivo, y el sistema se encarga del resto: reconocimiento, escaneo de puertos, identificación de vulnerabilidades, intento de explotación y generación de informe.

El proyecto fue iniciado a principios de 2025 por VXControl, una organización activa en GitHub especializada en herramientas de seguridad. La última versión publicada, la v1.2.0, salió el 25 de febrero de 2026. Distribuido bajo licencia MIT, PentAGI es enteramente gratuito y autoalojable. Los únicos costes potenciales conciernen al uso de modelos de lenguaje en la nube (OpenAI, Anthropic), pero la herramienta también soporta modelos locales vía Ollama, lo que permite un uso totalmente gratuito.

La recepción de la comunidad fue explosiva. El repositorio de GitHub ha alcanzado 12.500 estrellas y 1.600 forks, situándose entre los repositorios más populares del mes de su publicación. En las redes sociales, la viralidad fue inmediata.

Este tuit, compartido miles de veces, resume el sentimiento dominante: "Alguien acaba de hacer open source un Red Team de IA totalmente autónomo. Varios agentes de IA que se comunican entre sí para hackear un objetivo. Cero intervención humana." Una afirmación que merece ser matizada, como veremos más adelante.

Lo que verdaderamente distingue a PentAGI de sus predecesores como PentestGPT es su arquitectura multiagente. Allí donde una herramienta clásica utiliza un único modelo de lenguaje para guiar a un operador humano, PentAGI orquesta más de trece agentes especializados, cada uno dotado de competencias y permisos específicos.

La arquitectura reposa sobre una división del trabajo precisa, inspirada en el funcionamiento de un verdadero equipo de pentest:

El principio fundamental es el del mínimo privilegio: cada agente solo ve las herramientas que necesita. El investigador puede ejecutar búsquedas web y consultas DNS, pero no puede lanzar exploits. El pentester puede usar Nmap y Metasploit, pero no tiene acceso a la escritura de archivos arbitrarios. Este aislamiento está implementado en el código Go del backend a través de un registro de permisos dedicado, donde cada intento de llamada a una herramienta no autorizada es bloqueado y registrado en log.

Más allá de la simple orquestación, PentAGI integra un sistema de memoria en tres niveles. La memoria a largo plazo, alimentada por PostgreSQL y pgvector, almacena los resultados de búsqueda y los enfoques que han funcionado en el pasado. La memoria de trabajo conserva el contexto actual de la misión, los objetivos activos y el estado del sistema. La memoria episódica archiva las acciones pasadas, sus resultados y los esquemas de éxito identificados.

Todo ello se enriquece con un grafo de conocimiento alimentado por Neo4j y Graphiti, que permite al sistema seguir las relaciones semánticas entre los elementos descubiertos durante un test. Por ejemplo, si un escaneo revela un servicio vulnerable en un puerto específico, el grafo puede relacionar esa información con CVE conocidas, con exploits disponibles y con configuraciones similares encontradas durante misiones anteriores. Esta capacidad de aprendizaje adaptativo es lo que permite teóricamente al sistema mejorar a lo largo de los usos.

Un desafío técnico importante para todo sistema basado en LLM es la gestión del contexto. Los tests de intrusión generan volúmenes considerables de datos: logs de escaneo, respuestas de servidores, código fuente, etc. PentAGI utiliza una técnica de "chain summarization" para condensar los resultados intermedios y mantener un contexto relevante en la ventana de tokens del modelo, con un soporte que llega hasta 200.000 tokens según el proveedor utilizado.

Una de las grandes bazas de PentAGI es su integración nativa con las herramientas ofensivas estándar de la industria. El sistema incorpora más de veinte herramientas profesionales de seguridad, todas ejecutadas en un contenedor Docker basado en la imagen Kali Linux de VXControl.

Entre las herramientas integradas, encontramos los clásicos imprescindibles:

• Nmap: el escáner de puertos y servicios de referencia, utilizado para la fase de reconocimiento

• Metasploit Framework: la plataforma de explotación más completa del mercado

• sqlmap: especializado en la detección y explotación de inyecciones SQL

• Nikto: escáner de vulnerabilidades web

• Gobuster / Dirbuster: herramientas de descubrimiento de directorios y archivos ocultos

• Hydra: ataque por fuerza bruta sobre los protocolos de autenticación

El agente pentester de PentAGI no se contenta con lanzar estas herramientas: interpreta sus resultados, adapta su estrategia en función de las respuestas obtenidas y encadena las etapas de manera lógica. Por ejemplo, un escaneo Nmap que revele un servidor web en el puerto 443 desencadenará automáticamente un escaneo Nikto, seguido de un intento de descubrimiento de directorios, y luego de un análisis de las vulnerabilidades potenciales.

Más allá de las herramientas ofensivas, PentAGI integra siete sistemas de búsqueda externos: Tavily, Traversaal, Perplexity, DuckDuckGo, Google Custom Search, Sploitus (especializado en la búsqueda de exploits) y SearXNG. Esta capacidad permite al sistema buscar en tiempo real información sobre vulnerabilidades publicadas recientemente, CVE específicas o técnicas de explotación adaptadas al objetivo analizado.

Un navegador web aislado (scraper) completa este arsenal, permitiendo al agente recopilar información directamente desde páginas web, documentación técnica o portales de administración.

La arquitectura de PentAGI sigue un modelo de microservicios moderno, con una separación clara entre los componentes:

La elección de Go para el backend no es anodina. El lenguaje ofrece excelentes prestaciones para la gestión concurrente de los agentes y las colas de tareas asíncronas, dos elementos críticos en un sistema multiagente.

Una de las elecciones arquitectónicas más interesantes de PentAGI es su agnosticismo respecto a los modelos de lenguaje. Vía LiteLLM, el sistema soporta más de doce proveedores, lo que representa una ventaja considerable. Puedes utilizar los últimos modelos de OpenAI (GPT-5.2, o4-mini), de Anthropic (Claude Opus 4.6, Claude Sonnet 4.6), de Google (Gemini 3.1 Pro, Gemini 2.5 Flash), pero también modelos autoalojados vía Ollama (Llama 3.1, Qwen 3.5-27B) o agregadores como OpenRouter y DeepInfra.

Esta flexibilidad permite adaptar coste y prestaciones a la necesidad: un modelo local gratuito para los tests preliminares, un modelo frontier para las misiones críticas. Los benchmarks publicados por el equipo muestran que vLLM acoplado a Qwen 3.5-27B-FP8 alcanza unos 13.000 tokens por segundo en procesamiento de prompt y 650 tokens por segundo en generación, sobre un setup con cuatro GPU RTX 5090.

La instalación de PentAGI pretende ser accesible. La configuración mínima requerida es modesta: 2 vCPU, 4 GB de RAM y 20 GB de almacenamiento, además de Docker y Docker Compose.

La manera más sencilla de desplegar PentAGI es utilizar el instalador oficial:

mkdir -p pentagi && cd pentagi
wget -O installer.zip https://pentagi.com/downloads/linux/amd64/installer-latest.zip
unzip installer.zip
sudo ./installer

El instalador está disponible para Linux (amd64, arm64), Windows (amd64) y macOS (Intel y Apple Silicon).

Para los usuarios que prefieren un control total, el método manual consiste en obtener el archivo docker-compose.yml y el archivo de configuración .env, rellenar las claves API de tu proveedor LLM, y a continuación lanzarlo todo:

docker compose up -d

La interfaz web es entonces accesible en https://localhost:8443 con las credenciales por defecto. Stacks opcionales permiten añadir Langfuse (analítica LLM), Graphiti (grafo de conocimiento) y la observabilidad completa (Grafana, Jaeger, Loki) mediante archivos Docker Compose adicionales.

Conviene, no obstante, matizar esta aparente facilidad. Como destaca el investigador en seguridad Hafiq Iqmal en su análisis en InfoSec Write-ups, la promesa de "cero intervención humana" merece un asterisco: hay que configurar de todos modos tres bases de datos, proporcionar claves API para un modelo de lenguaje y definir con precisión el objetivo. No es un software que se lanza con un clic.

Cuando una herramienta de IA está concebida para hackear sistemas, la cuestión de su propia seguridad se vuelve primordial. El equipo de PentAGI ha implementado varias capas de protección que merecen ser detalladas, y que de hecho son citadas como ejemplo por SitePoint como modelo de seguridad para los agentes autónomos.

Todas las operaciones ofensivas se ejecutan en contenedores Docker aislados con restricciones estrictas:

• El contenedor corre como usuario nobody (UID 65534), nunca como root

• El sistema de archivos raíz es de solo lectura

• Todas las capabilities Linux son eliminadas (cap_drop: ALL), solo NET_RAW se añade si es necesario

• Un perfil seccomp personalizado restringe las llamadas al sistema autorizadas

• Los recursos están limitados (1 CPU, 512 MB de RAM por defecto)

• La red está segmentada: el contenedor de ejecución solo puede alcanzar los objetivos autorizados

Para las operaciones de alto riesgo (ejecución de shell, lanzamiento de exploit, escalada de privilegios, eliminación de recursos), PentAGI implementa un sistema de aprobación humana. La interfaz React muestra las acciones pendientes y permite al operador aprobar o rechazar cada operación sensible. En caso de timeout (300 segundos por defecto), la acción es rechazada automáticamente: el sistema adopta un comportamiento "fail-closed" por defecto.

Cada prompt LLM, cada invocación de herramienta y cada acción en el contenedor son registrados en un formato estructurado que incluye el identificador del agente, la sesión, los parámetros, la puntuación de riesgo y el tiempo de ejecución. Esta trazabilidad completa es esencial para la auditoría y el cumplimiento.

PentAGI no evoluciona en el vacío. El mercado del pentest automatizado por IA está en plena efervescencia en 2026. Así se posiciona frente a las principales alternativas:

La ventaja principal de PentAGI es evidente: es la única solución enteramente gratuita y open source que ofrece este nivel de autonomía. Conservas el control total de tus datos, puedes auditar el código fuente y adaptar la herramienta a tus necesidades. A cambio, las soluciones comerciales como NodeZero.ai y Pentera ofrecen soporte profesional, integraciones empresariales maduras y resultados probados en entorno de producción.

La comparación más pertinente en el mundo open source sigue siendo PentestGPT, que ha acumulado 11.000 estrellas en GitHub. Pero PentestGPT funciona más bien como un asistente que guía a un operador humano, mientras que PentAGI apunta a la autonomía completa con su arquitectura multiagente y su entorno de ejecución integrado.

A pesar del entusiasmo, es importante mirar a PentAGI con lucidez. El análisis llevado a cabo por Ostorlab, que ha testado ocho herramientas de pentest IA open source, ha revelado que PentAGI podía encontrar fallos durante ciertos tests debido a problemas de configuración. Las issues abiertas en GitHub mencionan errores Docker, interrupciones de LLM e informes a veces poco informativos.

La supervisión avanzada de los agentes, si bien mejora la calidad de los resultados en un factor de dos según los benchmarks internos, multiplica también por dos o tres el tiempo de ejecución y el consumo de tokens. Para los modelos inferiores a 32.000 millones de parámetros, esta supervisión se describe como "esencial" por el equipo, lo que sugiere que los pequeños modelos por sí solos no son suficientes para obtener resultados fiables.

PentAGI está concebido exclusivamente para un uso autorizado y ético. La utilización sobre sistemas sin autorización explícita constituye un delito en la práctica totalidad de las jurisdicciones. El proyecto muestra claramente esta advertencia, pero la naturaleza misma de una herramienta tan accesible y potente plantea cuestiones. A diferencia de un pentester humano certificado, un agente de IA no tiene juicio ético propio y no verifica si el perímetro autorizado es respetado más allá de lo que se le indica.

La cuestión fundamental es la planteada por numerosos profesionales de la ciberseguridad: ¿reemplaza PentAGI a un pentester humano? La respuesta, en marzo de 2026, es no. Como destaca el análisis de Penligent, un test de intrusión no es una sola acción sino una cadena de juicios. Un testador humano observa un formulario de conexión, infiere un esquema de autenticación probable, advierte una ruta API secundaria, formula una hipótesis de confusión de roles, confirma las transiciones de sesión y documenta el bug de manera reproducible. Un sistema que solo ayuda en un punto de esta cadena hace asistencia, no pentest en el sentido completo.

PentAGI representa, no obstante, un avance significativo en la automatización de esta cadena. Para los equipos de seguridad con falta de personal, puede servir como herramienta de reconocimiento avanzado, como escáner inteligente capaz de ir más allá de los resultados en bruto, y como sistema de triaje que reduce el ruido para permitir a los analistas concentrarse en las vulnerabilidades más críticas.

PentAGI se inscribe en una tendencia de fondo: la convergencia entre la automatización ofensiva, la seguridad de las aplicaciones de IA y la validación basada en pruebas. En 2026, según Bugcrowd, el 82% de los hackers ya utilizan la IA en sus workflows, principalmente para la automatización, el análisis de código y el desbloqueo de situaciones complejas.

El proyecto de VXControl tiene el mérito de hacer esta tecnología accesible a todos, de democratizarla vía open source y de proponer una arquitectura de referencia para los agentes autónomos seguros. Con sus trece agentes especializados, sus múltiples capas de seguridad y su flexibilidad en la elección de los modelos de lenguaje, PentAGI es menos un producto acabado que una plataforma de experimentación extraordinariamente ambiciosa.

Para los profesionales de la ciberseguridad, la herramienta merece ser testada, comprendida y seguida. Para las empresas, todavía no reemplaza una auditoría profesional, pero ofrece una visión impactante de lo que será el pentest en los próximos años: más rápido, más continuo y cada vez más autónomo. La verdadera cuestión ya no es saber si la IA va a transformar los tests de intrusión, sino a qué velocidad.