Industri keamanan siber terus berinovasi, dan kini, kecerdasan buatan mulai mengambil peran signifikan dalam offensive security. Sebuah agen AI open-source baru bernama PentestCode AI Agent hadir untuk mengotomatisasi pengujian penetrasi. Alat ini merupakan hard fork dari OpenCode yang dikembangkan khusus untuk keamanan, menawarkan kemampuan untuk menjalankan alat keamanan, menganalisis hasilnya, dan membuat keputusan taktis, semuanya dari antarmuka terminal dengan intervensi manusia yang minimal.
Cara Kerja PentestCode Mengotomatisasi Pentest
Inti dari PentestCode adalah otomatisasi metodologi. Kamu cukup memberikan satu instruksi, misalnya, menargetkan IP dengan tujuan mendapatkan akses domain admin. Setelah itu, agen koordinator PentestCode akan mengambil alih.
Agen koordinator memulai dengan pemindaian Nmap, lalu secara otomatis mengurai hasil ke dalam status keterlibatan yang terstruktur. Ia bahkan dapat mengenali pola spesifik seperti port 88 dan 389 yang menandakan adanya Domain Controller.
Dari sana, PentestCode akan melahirkan sub-agen enumerasi paralel untuk SMB, LDAP, dan HTTP. Alat ini juga mencoba serangan AS-REP roasting untuk memanen hash Kerberos yang dapat di-crack, dan menyebarkan kredensial yang didapat ke setiap layanan yang ditemukan, termasuk SMB, WinRM, LDAP, dan RDP.
Jika login WinRM berhasil, agen pasca-eksploitasi akan diaktifkan untuk membuang rahasia SAM, LSA, dan DPAPI. Setiap langkah yang dilakukan dicatat dalam rantai bukti, memberikan dokumentasi lengkap tentang proses yang berjalan.
Desain di Balik Kecerdasan
PentestCode dikembangkan oleh Zhangir Ospanov dan menggunakan desain strategist-coordinator yang didasarkan pada penelitian HPTSA. Para pengembang mengklaim desain ini menghasilkan peningkatan 4,3 kali lipat dibandingkan pendekatan agen tunggal.
Ada tiga belas agen yang menangani peran berbeda, mencakup:
- Reconnaissance
- Scanning
- Enumerasi
- Eksploitasi
- Active Directory/Kerberos
- Protokol infrastruktur seperti SNMP dan IPMI
- Pengujian aplikasi web
- Pasca-eksploitasi
- Pengembangan eksploit
- Pemfilteran false-positive
- Pelaporan
Semua agen ini berbagi engagement state atau status keterlibatan terpadu secara real-time. Fitur shared state ini adalah salah satu aspek paling khas dari proyek PentestCode. Ia melacak host, layanan, kerentanan (lengkap dengan skor kepercayaan dan status), kredensial, tingkat akses, dan grafik hubungan entitas yang menghubungkan temuan melalui label. Modul jalur serangan menggunakan algoritma Dijkstra berbasis biaya dan Yen’s K-shortest-paths untuk menyarankan rute melalui grafik ini. Status ini juga disimpan antar sesi, memungkinkan penguji untuk melanjutkan keterlibatan yang berlangsung multi-hari tanpa kehilangan konteks.
Perbendaharaan Senjata dan Pengetahuan
Di luar akses shell generik, PentestCode juga menyertakan 18 alat yang disesuaikan untuk pekerjaan ofensif. Parser khusus mengubah output mentah dari Nmap, Nuclei, NetExec, Gobuster, BloodHound, dan sqlmap langsung menjadi entri state terstruktur, dan penggunaannya bersifat wajib, mencegah temuan terlewat karena pekerjaan grep manual.
Alat tambahan menangani analisis JWT, deteksi XSS, perencanaan credential-spray, validasi ruang lingkup, manajemen tunnel, dan pembuatan laporan.
Ada juga sembilan belas "skill pack" on-demand, yaitu file pengetahuan berbasis Markdown yang mencakup daftar periksa fase, taktik spesifik layanan, dan playbook untuk AD, aplikasi web, dan cloud. Ini memperluas domain pengetahuan agen tanpa perlu perubahan kode inti.
Batasan dan Pertimbangan Penting
Meskipun canggih, alat PentestCode yang dapat diunduh dari GitHub ini dijelaskan sebagai "tidak stealthy," sehingga kurang cocok untuk skenario operasi red-team yang membutuhkan OPSEC tinggi. Alat ini juga cenderung menjalankan alat secara berlebihan (redundant tool runs).
Biaya token untuk keterlibatan sebenarnya bisa berkisar antara $5-$50, tergantung pada ruang lingkup dan pilihan model LLM. Claude Opus/Sonnet disebut-sebut mengungguli GPT-4o dan model lokal lainnya untuk koordinasi multi-agen.
Penting untuk dicatat bahwa PentestCode masih dalam tahap beta. Belum ada GUI, belum ada integrasi Burp Suite, dan API-nya masih terus berkembang. Dengan demikian, alat ini lebih berfungsi sebagai pengali kekuatan untuk enumerasi yang metodis, daripada pengganti rantai eksploitasi kompleks yang dipimpin manusia atau pengembangan serangan kreatif.
Referensi
https://cybersecuritynews.com/pentestcode-ai-agent/
