PentAGI : L'Agent IA Autonome Qui Hacke Pour Vous (Guide Complet et Avis 2026)

Un système d'IA capable de mener un test d'intrusion complet sans intervention humaine. C'est la promesse de PentAGI, un projet open source qui a fait irruption dans le paysage de la cybersécurité en ce début d'année 2026. Avec plus de 12 500 étoiles sur GitHub, une architecture multi-agents sophistiquée et l'intégration de plus de vingt outils professionnels de sécurité offensive, le projet développé par VXControl suscite autant d'enthousiasme que de questions légitimes. Faut-il y voir une révolution dans le pentest, ou simplement un outil de plus dans un écosystème déjà saturé ? Voici notre analyse complète.

Le nom PentAGI est un condensé de son ambition : Penetration testing Artificial General Intelligence. Le projet se présente comme un système d'agents IA entièrement autonome, capable de réaliser des tâches complexes de test d'intrusion en utilisant un terminal, un navigateur, un éditeur de code et des systèmes de recherche externes. Concrètement, vous lui décrivez une cible, et le système se charge du reste : reconnaissance, scan de ports, identification de vulnérabilités, tentative d'exploitation et génération de rapport.

Le projet a été initié début 2025 par VXControl, une organisation active sur GitHub spécialisée dans les outils de sécurité. La dernière version en date, la v1.2.0, a été publiée le 25 février 2026. Distribué sous licence MIT, PentAGI est entièrement gratuit et auto-hébergeable. Les seuls coûts potentiels concernent l'utilisation de modèles de langage cloud (OpenAI, Anthropic), mais l'outil supporte aussi des modèles locaux via Ollama, ce qui permet une utilisation totalement gratuite.

La réception communautaire a été explosive. Le dépôt GitHub a atteint 12 500 étoiles et 1 600 forks, se hissant parmi les repositories les plus populaires de son mois de publication. Sur les réseaux sociaux, la viralité a été immédiate.

Ce tweet, partagé des milliers de fois, résume le sentiment dominant : « Quelqu'un vient de rendre open source une Red Team IA entièrement autonome. Plusieurs agents IA qui communiquent entre eux pour pirater une cible. Zéro intervention humaine. » Une affirmation qui mérite d'être nuancée, comme nous le verrons plus loin.

Ce qui distingue véritablement PentAGI de ses prédécesseurs comme PentestGPT, c'est son architecture multi-agents. Là où un outil classique utilise un seul modèle de langage pour guider un opérateur humain, PentAGI orchestre plus de treize agents spécialisés, chacun doté de compétences et de permissions spécifiques.

L'architecture repose sur une division du travail précise, inspirée du fonctionnement d'une véritable équipe de pentest :

Le principe fondamental est celui du moindre privilège : chaque agent ne voit que les outils dont il a besoin. Le chercheur peut exécuter des recherches web et des requêtes DNS, mais ne peut pas lancer d'exploit. Le pentesteur peut utiliser Nmap et Metasploit, mais n'a pas accès à l'écriture de fichiers arbitraires. Cette isolation est implémentée dans le code Go du backend via un registre de permissions dédié, où chaque tentative d'appel d'outil non autorisé est bloquée et journalisée.

Au-delà de la simple orchestration, PentAGI intègre un système de mémoire à trois niveaux. La mémoire à long terme, alimentée par PostgreSQL et pgvector, stocke les résultats de recherche et les approches qui ont fonctionné dans le passé. La mémoire de travail conserve le contexte actuel de la mission, les objectifs actifs et l'état du système. La mémoire épisodique archive les actions passées, leurs résultats et les schémas de réussite identifiés.

Le tout est enrichi par un graphe de connaissances alimenté par Neo4j et Graphiti, qui permet au système de suivre les relations sémantiques entre les éléments découverts lors d'un test. Par exemple, si un scan révèle un service vulnérable sur un port spécifique, le graphe peut relier cette information à des CVE connues, à des exploits disponibles et à des configurations similaires rencontrées lors de missions précédentes. Cette capacité d'apprentissage adaptatif est ce qui permet théoriquement au système de s'améliorer au fil des utilisations.

Un défi technique majeur pour tout système basé sur des LLM est la gestion du contexte. Les tests d'intrusion génèrent des volumes considérables de données : logs de scan, réponses de serveurs, code source, etc. PentAGI utilise une technique de « chain summarization » pour condenser les résultats intermédiaires et maintenir un contexte pertinent dans la fenêtre de tokens du modèle, avec un support allant jusqu'à 200 000 tokens selon le fournisseur utilisé.

L'un des atouts majeurs de PentAGI est son intégration native avec les outils offensifs standards de l'industrie. Le système embarque plus de vingt outils professionnels de sécurité, tous exécutés dans un conteneur Docker basé sur l'image Kali Linux de VXControl.

Parmi les outils intégrés, on retrouve les classiques incontournables :

• Nmap : le scanner de ports et de services de référence, utilisé pour la phase de reconnaissance

• Metasploit Framework : la plateforme d'exploitation la plus complète du marché

• sqlmap : spécialisé dans la détection et l'exploitation d'injections SQL

• Nikto : scanner de vulnérabilités web

• Gobuster / Dirbuster : outils de découverte de répertoires et de fichiers cachés

• Hydra : attaque par force brute sur les protocoles d'authentification

L'agent pentesteur de PentAGI ne se contente pas de lancer ces outils : il interprète leurs résultats, adapte sa stratégie en fonction des réponses obtenues et enchaîne les étapes de manière logique. Par exemple, un scan Nmap révélant un serveur web sur le port 443 déclenchera automatiquement un scan Nikto, suivi d'une tentative de découverte de répertoires, puis d'une analyse des vulnérabilités potentielles.

Au-delà des outils offensifs, PentAGI intègre sept systèmes de recherche externes : Tavily, Traversaal, Perplexity, DuckDuckGo, Google Custom Search, Sploitus (spécialisé dans la recherche d'exploits) et SearXNG. Cette capacité permet au système de chercher en temps réel des informations sur des vulnérabilités récemment publiées, des CVE spécifiques ou des techniques d'exploitation adaptées à la cible analysée.

Un navigateur web isolé (scraper) complète cet arsenal, permettant à l'agent de collecter des informations directement depuis des pages web, de la documentation technique ou des portails d'administration.

L'architecture de PentAGI suit un modèle de microservices moderne, avec une séparation claire entre les composants :

Le choix de Go pour le backend n'est pas anodin. Le langage offre d'excellentes performances pour la gestion concurrente des agents et les files d'attente de tâches asynchrones, deux éléments critiques dans un système multi-agents.

L'un des choix architecturaux les plus intéressants de PentAGI est son agnosticisme vis-à-vis des modèles de langage. Via LiteLLM, le système supporte plus de douze fournisseurs, ce qui représente un avantage considérable. Vous pouvez utiliser les derniers modèles d'OpenAI (GPT-5.2, o4-mini), d'Anthropic (Claude Opus 4.6, Claude Sonnet 4.6), de Google (Gemini 3.1 Pro, Gemini 2.5 Flash), mais aussi des modèles auto-hébergés via Ollama (Llama 3.1, Qwen 3.5-27B) ou des agrégateurs comme OpenRouter et DeepInfra.

Cette flexibilité permet d'adapter le coût et les performances au besoin : un modèle local gratuit pour les tests préliminaires, un modèle frontier pour les missions critiques. Les benchmarks publiés par l'équipe montrent que vLLM couplé à Qwen 3.5-27B-FP8 atteint environ 13 000 tokens par seconde en traitement de prompt et 650 tokens par seconde en génération, sur un setup avec quatre GPU RTX 5090.

L'installation de PentAGI se veut accessible. La configuration minimale requise est modeste : 2 vCPU, 4 Go de RAM et 20 Go de stockage, plus Docker et Docker Compose.

La manière la plus simple de déployer PentAGI est d'utiliser l'installateur officiel :

mkdir -p pentagi && cd pentagi
wget -O installer.zip https://pentagi.com/downloads/linux/amd64/installer-latest.zip
unzip installer.zip
sudo ./installer

L'installateur est disponible pour Linux (amd64, arm64), Windows (amd64) et macOS (Intel et Apple Silicon).

Pour les utilisateurs qui préfèrent un contrôle total, la méthode manuelle consiste à récupérer le fichier docker-compose.yml et le fichier de configuration .env, à renseigner les clés API de votre fournisseur LLM, puis à lancer le tout :

docker compose up -d

L'interface web est ensuite accessible sur https://localhost:8443 avec les identifiants par défaut. Des stacks optionnels permettent d'ajouter Langfuse (analytics LLM), Graphiti (graphe de connaissances) et l'observabilité complète (Grafana, Jaeger, Loki) via des fichiers Docker Compose additionnels.

Il faut cependant nuancer cette facilité apparente. Comme le souligne le chercheur en sécurité Hafiq Iqmal dans son analyse sur InfoSec Write-ups, la promesse de « zéro intervention humaine » mérite un astérisque : il faut tout de même configurer trois bases de données, fournir des clés API pour un modèle de langage et définir précisément la cible. Ce n'est pas un logiciel que l'on lance en un clic.

Quand un outil IA est conçu pour pirater des systèmes, la question de sa propre sécurité devient primordiale. L'équipe de PentAGI a mis en place plusieurs couches de protection qui méritent d'être détaillées, et qui sont d'ailleurs citées en exemple par SitePoint comme modèle de sécurité pour les agents autonomes.

Toutes les opérations offensives sont exécutées dans des conteneurs Docker isolés avec des restrictions strictes :

• Le conteneur tourne en tant qu'utilisateur nobody (UID 65534), jamais en root

• Le système de fichiers racine est en lecture seule

• Toutes les capacités Linux sont supprimées (cap_drop: ALL), seule NET_RAW est ajoutée si nécessaire

• Un profil seccomp personnalisé restreint les appels système autorisés

• Les ressources sont limitées (1 CPU, 512 Mo de RAM par défaut)

• Le réseau est segmenté : le conteneur d'exécution ne peut atteindre que les cibles autorisées

Pour les opérations à haut risque (exécution de shell, lancement d'exploit, escalade de privilèges, suppression de ressources), PentAGI implémente un système d'approbation humaine. L'interface React affiche les actions en attente et permet à l'opérateur d'approuver ou de refuser chaque opération sensible. En cas de timeout (300 secondes par défaut), l'action est automatiquement refusée : le système adopte un comportement « fail-closed » par défaut.

Chaque prompt LLM, chaque invocation d'outil et chaque action dans le conteneur sont journalisés dans un format structuré incluant l'identifiant de l'agent, la session, les paramètres, le score de risque et le temps d'exécution. Cette traçabilité complète est essentielle pour l'audit et la conformité.

PentAGI n'évolue pas dans un vide. Le marché du pentest automatisé par IA est en pleine effervescence en 2026. Voici comment il se positionne face aux principales alternatives :

L'avantage principal de PentAGI est évident : c'est la seule solution entièrement gratuite et open source offrant ce niveau d'autonomie. Vous gardez le contrôle total de vos données, vous pouvez auditer le code source et adapter l'outil à vos besoins. En contrepartie, les solutions commerciales comme NodeZero.ai et Pentera offrent un support professionnel, des intégrations entreprise matures et des résultats éprouvés en environnement de production.

La comparaison la plus pertinente dans le monde open source reste PentestGPT, qui a accumulé 11 000 étoiles sur GitHub. Mais PentestGPT fonctionne davantage comme un assistant qui guide un opérateur humain, là où PentAGI vise l'autonomie complète avec son architecture multi-agents et son environnement d'exécution intégré.

Malgré l'enthousiasme, il est important de regarder PentAGI avec lucidité. L'analyse menée par Ostorlab, qui a testé huit outils de pentest IA open source, a révélé que PentAGI pouvait rencontrer des échecs lors de certains tests en raison de problèmes de configuration. Les issues GitHub ouvertes mentionnent des erreurs Docker, des interruptions LLM et des rapports parfois peu informatifs.

La supervision avancée des agents, si elle améliore la qualité des résultats d'un facteur deux selon les benchmarks internes, multiplie aussi par deux à trois le temps d'exécution et la consommation de tokens. Pour les modèles inférieurs à 32 milliards de paramètres, cette supervision est décrite comme « essentielle » par l'équipe, ce qui suggère que les petits modèles seuls ne sont pas suffisants pour des résultats fiables.

PentAGI est conçu exclusivement pour un usage autorisé et éthique. L'utilisation sur des systèmes sans autorisation explicite constitue un délit dans la quasi-totalité des juridictions. Le projet affiche clairement cet avertissement, mais la nature même d'un outil aussi accessible et puissant soulève des questions. Contrairement à un pentester humain certifié, un agent IA n'a pas de jugement éthique propre et ne vérifie pas si le périmètre autorisé est respecté au-delà de ce qu'on lui indique.

La question fondamentale est celle posée par de nombreux professionnels de la cybersécurité : PentAGI remplace-t-il un pentester humain ? La réponse, en mars 2026, est non. Comme le souligne l'analyse de Penligent, un test d'intrusion n'est pas une seule action mais une chaîne de jugements. Un testeur humain observe un formulaire de connexion, infère un schéma d'authentification probable, remarque une route API secondaire, formule une hypothèse de confusion de rôles, confirme les transitions de session et documente le bug de manière reproductible. Un système qui n'aide qu'à un point de cette chaîne fait de l'assistance, pas du pentest au sens complet.

PentAGI représente néanmoins une avancée significative dans l'automatisation de cette chaîne. Pour les équipes de sécurité en sous-effectif, il peut servir d'outil de reconnaissance avancée, de scanner intelligent capable d'aller au-delà des résultats bruts, et de système de triage qui réduit le bruit pour permettre aux analystes de se concentrer sur les vulnérabilités les plus critiques.

PentAGI s'inscrit dans une tendance de fond : la convergence entre l'automatisation offensive, la sécurité des applications IA et la validation basée sur les preuves. En 2026, selon Bugcrowd, 82 % des hackers utilisent déjà l'IA dans leurs workflows, principalement pour l'automatisation, l'analyse de code et le déblocage de situations complexes.

Le projet de VXControl a le mérite de rendre cette technologie accessible à tous, de la démocratiser via l'open source et de proposer une architecture de référence pour les agents autonomes sécurisés. Avec ses treize agents spécialisés, ses multiples couches de sécurité et sa flexibilité dans le choix des modèles de langage, PentAGI est moins un produit fini qu'une plateforme d'expérimentation extraordinairement ambitieuse.

Pour les professionnels de la cybersécurité, l'outil mérite d'être testé, compris et suivi. Pour les entreprises, il ne remplace pas encore un audit professionnel, mais il offre un aperçu saisissant de ce que sera le pentest dans les années à venir : plus rapide, plus continu, et de plus en plus autonome. La vraie question n'est plus de savoir si l'IA va transformer les tests d'intrusion, mais à quelle vitesse.