pentest-ai muncul sebagai nama yang menarik dalam Pentest AI dan bidang keamanan siber, menjanjikan pendekatan baru untuk pengujian penetrasi. Ini bukan sekadar pemindai kerentanan lainnya. ptai, sebutan akrabnya, adalah alat pentest berbasis AI yang tidak hanya menemukan, tetapi juga membuktikan setiap temuannya. Ia menjamin kamu tidak perlu lagi menebak-nebak hasil pemindaian yang seringkali penuh dengan false positive.
Apa itu pentest-ai? Verifikasi Adalah Kunci
Di jantung pentest-ai terletak janji verifikasi. Ketika banyak alat keamanan hanya melaporkan potensi kerentanan, ptai mengambil langkah lebih jauh. Ia secara otomatis menjalankan kembali setiap exploit untuk mengonfirmasi temuannya. Sebuah kerentanan dianggap sebagai "kandidat" sampai "oracle mesin" berhasil mereproduksinya secara konsisten N dari N kali. Hanya setelah itu ia layak mendapatkan lencana VERIFIED.
ptai melakukan langkah-langkah seperti reconnaissance, login, dan bahkan merangkai temuan menjadi jalur serangan multi-langkah. Namun, ia tidak meminta kamu untuk mempercayai hasilnya begitu saja. Mirip dengan bagaimana TruffleHog mengonfirmasi rahasia yang bocor dengan mencoba login menggunakan informasi tersebut, ptai memvalidasi temuan web-nya dengan menjalankan ulang exploit. Bahkan output dari scanner pihak ketiga seperti Nuclei, Nikto, atau ZAP akan disaring dan disembunyikan sampai oracle ptai berhasil membuktikannya. Pendekatan ini secara drastis mengurangi "kebisingan" dari scanner yang sering membuat tim mengabaikan alat mereka. Laporan yang dihasilkan hanya berisi apa yang bisa ptai buktikan, dengan setiap temuan VERIFIED dilengkapi proof capsule portabel yang bisa kamu putar ulang sendiri.
Honest Numbers: Bukti Tanpa Omong Kosong
Bagaimana ptai membuktikan klaimnya? Ia menyertakan honeypot harness dan clean-app zero-FP gate di repositori, memungkinkan siapa saja untuk mereproduksi klaimnya. Misalnya, dalam satu uji coba terhadap honeypot pribadi dengan 20 bug, ptai berhasil menangkap 19 di antaranya dengan presisi 100% dan nol false positive. Empat kelas bug juga berhasil diverifikasi oleh oracle mesin. Penting untuk dicatat, angka 19/20 ini berasal dari satu uji coba khusus dan bukan tingkat false positive di lapangan. Gerbang oracle memang meningkatkan presisi tanpa mengorbankan recall, dengan secara aktif menghilangkan false positive.
Berikut perbandingan ptai dengan beberapa tool populer lainnya dalam pengujian OWASP Juice Shop:
| Tool | Temuan | Critical+High | OWASP Top 10 Buckets | Tingkat FP |
|---|---|---|---|---|
| ptai 0.13.0 | 88 | 46 | 5 | 0% |
| ZAP 2.17.0 | 593 | 0 | 1 | 47% |
| Nuclei 3.8.0 | 1 | 0 | 1 | 0% |
| HexStrike v6.0 | 11 | 0 | 1 | - |
Dari tabel ini terlihat, ptai jauh lebih efektif dalam web pentest SPA dengan probe yang dikurasi. Meskipun Juice Shop adalah target yang banyak dipelajari, yang memberi LLM dan penulis probe keuntungan awal, ptai juga mengukur coverage terhadap bug kustom di honeypot pribadi dengan tingkat tangkapan 10/10.
Bagaimana pentest-ai Bekerja? Arsitektur Agen yang Komprehensif
ptai beroperasi melalui serangkaian agen dan fase yang terstruktur, memungkinkan pendekatan pentest yang menyeluruh. Entah kamu mengatur kunci API LLM atau tidak, alur fase kerjanya tetap sama.
Berikut fase-fase utama dan agen yang terlibat:
| Agen | Fase | Tugas |
|---|---|---|
| recon | 1 | Pemindaian port, enum DNS dan subdomain, fingerprinting layanan |
| web | 2 | Pengujian OWASP Testing Guide v4 terautentikasi |
| api_security | 2 | Analisis permukaan OpenAPI/GraphQL/REST, OWASP API Top 10 |
| browser | 2 | Analisis DOM berbasis Playwright, penangkapan XHR, penilaian header keamanan |
| ad | 3 | Enum AD, Kerberoasting, pathfinding BloodHound |
| cloud | 4 | AWS, Azure, GCP IAM, misconfig, K8s RBAC, serverless |
| credential_tester | 4 | Password spraying, credential stuffing, pemeriksaan bypass MFA |
| privesc | 5 | Saran privilege-escalation lokal dan lateral |
| vuln_scanner | 5 | Agregasi vuln cross-cutting terhadap Findings DB |
| exploit_chain | 6 | Korelasi temuan ke jalur serangan multi-langkah |
| poc_validator | 7 | Proof of concept non-destruktif per temuan |
| detection | 8 | Aturan Sigma, SPL, KQL untuk tim blue team |
| report | 9 | Laporan Markdown, HTML, PDF, SARIF, JUnit, peta kepatuhan |
| llm_redteam | Opsional | Probe OWASP LLM Top 10 |
| social_engineer | Opsional | Phishing corpus dan pretext generation |
| mobile | Opsional | Pemeriksaan statis + dinamis Android/iOS |
| wireless | Opsional | Reconnaissance nirkabel dan penangkapan handshake |
Setiap temuan VERIFIED berasal dari oracle mesin yang dinamai, tidak pernah dari asersi LLM. Saat ini, ptai dilengkapi delapan oracle mesin yang mampu mengonfirmasi: reflection, open-redirect, IDOR/BOLA, error-disclosure, MCP-exposure, SQLi (boolean dan blind), dan out-of-band (OAST) untuk blind SSRF/XXE melalui kolaborator yang di-hosting sendiri.
Lebih dari Sekadar Pemindai Biasa: Fitur Unggulan pentest-ai
ptai hadir dengan beberapa keunggulan yang membedakannya dari alat pentest lain:
- LLM-Coordinated, Bukan LLM-Dependent: LLM menjalankan loop fase dan mempertimbangkan hasil, tetapi deteksi bug dilakukan oleh probe library deterministik yang dikurasi. Tanpa kunci API LLM pun, probe yang sama tetap berjalan.
- Tanpa Kunci API di Jalur MCP: Jika kamu pengguna Claude Code, Cursor, atau Codex,
ptaidapat kamu kendalikan melalui MCP menggunakan langganan yang sudah ada. Alat dan probe yang terbungkus dapat dipanggil LLM tanpa kunci Anthropic. - Mampu Login: Kebanyakan scanner akan mati di halaman login.
ptaidapat mempertahankan sesi, menyegarkan kredensial, dan setiap alat hilir akan mewarisi cookie. Profil autentikasi menyimpan referensi (variabel env, op://, jalur Vault), bukan nilai aslinya. - Setiap Temuan Terbukti: Proof of Concept (PoC) non-destruktif dijalankan terhadap target. Tidak ada lagi kebutuhan untuk menyaring puluhan potensi temuan dari scanner yang bising.
- CI-Native: Integrasi mudah dengan workflow CI/CD, mendukung GitHub Actions, severity gates, output SARIF, dan komentar PR.
- Berjalan di Laptop Kamu: Berlisensi MIT, tanpa panggilan cloud, berjalan offline dengan Ollama. Semua temuan tetap tersimpan di disk lokalmu.
- Playbook YAML: Mendefinisikan metodologi pentest-mu sebagai file YAML yang dapat dibagikan dengan tim.
Integrasi dan Fleksibilitas Tinggi
Menginstal ptai sangatlah mudah: pip install ptai. Kamu memiliki beberapa jalur instalasi dan penggunaan:
bashpip install ptai
1. Melalui Claude Code (jalur MCP)
Jika kamu sudah berlangganan Claude Pro/Max/Team, tambahkan ptai sebagai server MCP:
bashclaude mcp add pentest-ai -- ptai mcp
Setelah itu, kamu bisa meminta Claude Code untuk menjalankan pentest menggunakan bahasa alami. Alat dan probe ptai akan dieksekusi secara lokal, sementara prompt dan output akan melalui API Anthropic.
2. Klien MCP Lain
Untuk Cursor, VS Code Copilot, Codex, atau Claude Desktop, cukup jalankan ptai setup --mcp untuk konfigurasi otomatis.
3. CLI Mandiri (tanpa klien MCP)
Ideal untuk pipeline CI/CD atau terminal air-gapped. Kamu bisa membawa LLM sendiri melalui variabel lingkungan, seperti Anthropic, OpenAI, atau Ollama yang berjalan lokal:
bash# Menggunakan Claude export ANTHROPIC_API_KEY=sk-ant-... ptai start https://your-target.com # Menggunakan Ollama secara lokal export PENTEST_AI_LLM_PROVIDER=ollama ptai start https://your-target.com
Untuk jalur CLI mandiri, ptai memiliki batas pengeluaran LLM default $10 USD per engagement untuk mencegah loop yang tidak terkontrol, yang dapat diubah melalui PTAI_PRICE_LIMIT.
Pemasangan Alat Keamanan
ptai membungkus lebih dari 200 alat eksternal. Kamu bisa menginstalnya secara otomatis saat dibutuhkan, dalam batch (tier core, recommended, full), atau secara spesifik berdasarkan nama.
bash# Instalasi otomatis saat engagement dimulai (direkomendasikan) ptai start https://target.example.com # Instalasi batch ptai setup --tier core # Sekitar 6 alat esensial, ~30 detik ptai setup --tier recommended # Tambahan fuzzer, crawler, alat password, ~5 menit ptai setup --tier full # Semua alat, ~30 menit # Instalasi alat spesifik ptai setup --per-tool wpscan,dalfox,paramspider ptai setup --wizard # Pilih interaktif
Out-of-Band Callbacks (OAST)
ptai mendeteksi kelas kerentanan blind (blind SSRF, blind SQLi, blind XXE, blind stored XSS, SSTI, Log4Shell) dengan memancarkan payload yang, jika terpicu di sisi server, akan memanggil kolaborator out-of-band. Secara default, ini menggunakan infrastruktur publik oast.fun ProjectDiscovery. Penting untuk diketahui, payload dienkripsi dengan keypair lokalmu, sehingga hanya proses ptai lokalmu yang dapat mendekripsinya. Namun, metadata seperti fakta interaksi, IP sumber, timestamp, dan protokol tetap terlihat oleh pengelola kolaborator. Untuk keamanan lebih, kamu bisa self-host server Interactsh atau menonaktifkan OAST sepenuhnya dengan --no-oast.
Siapa yang Membutuhkan pentest-ai?
ptai dirancang untuk berbagai profesional keamanan:
- Tim AppSec: Mengintegrasikan
ptaike CI/CD untuk pemindaian terautentikasi pada setiap PR, dengan build yang gagal pada temuan high-severity. - Konsultan: Mengotomatiskan bagian rutin dari engagement agar bisa fokus pada analisis manusiawi dan interaksi klien. Laporan yang dibutuhkan juga dapat ditulis sendiri.
- Pemburu Bug Bounty: Mendapatkan daftar temuan yang tervalidasi dengan PoC siap pakai untuk diajukan.
- Red Teamers: Mengodekan metodologi AD mereka sebagai playbook YAML yang dapat digunakan berulang kali dan dibagikan dalam tim.
- Pengguna Claude Code/Cursor/Codex: Menggunakan asisten AI mereka untuk menggerakkan
ptaidengan bahasa alami. - Pengembang Fitur AI: Mengaktifkan
--enable-llm-redteamuntuk mendapatkan laporan OWASP LLM Top 10 dalam hitungan menit.
Penggunaan yang Bertanggung Jawab
pentest-ai adalah alat keamanan ofensif yang menjalankan operasi jaringan dan host nyata terhadap target yang kamu tentukan. Kamu bertanggung jawab penuh untuk memastikan memiliki otorisasi tertulis yang eksplisit untuk menguji setiap target. Dengan menginstal atau menjalankan ptai, kamu menyetujui Kebijakan Penggunaan yang Dapat Diterima dan Persyaratan Layanan. Pengujian sistem yang tidak kamu miliki tanpa otorisasi tertulis dapat melanggar berbagai undang-undang.
ptai memiliki fitur seperti scope file untuk menolak host di luar cakupan, PoC non-destruktif secara default, dan rate limit otomatis dalam mode stealth. Selalu gunakan alat ini secara etis dan legal.
Kesimpulan
pentest-ai bukan sekadar pentest tool dengan embel-embel AI. Ia adalah sebuah ekosistem yang dirancang untuk presisi, verifikasi, dan efisiensi. Dengan kemampuannya untuk membuktikan setiap temuan, berintegrasi dengan workflow modern, dan beroperasi dengan transparansi, ptai memberikan pendekatan yang lebih terpercaya dan terotomatisasi untuk menjaga keamanan sistem kita.
Referensi
https://github.com/0xSteph/pentest-ai