-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
🤖 YAPAY ZEKA ÇEKİRDEKLİ OTONOM PENTEST & AI RED TEAMING ARAÇLARI
⚡ 1. ALAPA – OTONOM LOKAL AI PENTEST AJANI
Ne işe yarar? ALAPA, tamamen yerel donanım üzerinde çalışan otonom bir saldırı güvenlik çerçevesidir. Web tarama, lokal LLM çıkarımı, otomatik zafiyet taraması ve interaktif payload detonatörünü tek bir süreçte birleştirir. Bulut API’lerine bağımlı olmadan, lokal Qwen 3.5 9B modeli ile hedefin saldırı yüzeyini analiz eder ve dinamik olarak exploit etiketleri üretir. Dört temel aşamada çalışır: keşif (katana), taktik analiz (Ollama + LLM), çalıştırma (nuclei) ve interaktif PoC doğrulama.
Neden ALAPA? Statik imzalara veya bulut API'lerine dayanmayan, tamamen lokal ve otonom çalışan ilk açık kaynak çerçevelerden biridir. Sıfır bulut bağımlılığı ile gizlilik ve kontrolü elden bırakmayanlar için idealdir.
Kurulum ve Kullanım:
# Tek komutla kurulum (macOS)
curl -sO https://raw.githubusercontent.com/lxrxvci/ALAPA-Agent/main/setup.sh && chmod +x setup.sh && ./setup.sh
# Manuel kurulum (Linux)
brew install projectdiscovery/tap/katana projectdiscovery/tap/nuclei ollama
ollama pull qwen3.5:9b
🔗 GitHub: github.com/lxrxvci/ALAPA-Agent
⚡ 2. METATRON – CLI TABANLI LOKAL AI PENTEST ASİSTANI
Ne işe yarar? Metatron, tamamen lokal makinenizde çalışan CLI tabanlı bir AI penetrasyon test asistanıdır. Hedef IP veya domain verdiğinizde, nmap, whois, whatweb, curl, dig, nikto gibi gerçek keşif araçlarını çalıştırır, tüm sonuçları lokal Ollama üzerinde çalışan AI modeline besler ve model, zafiyetleri analiz eder, exploit önerileri sunar ve düzeltmeler için tavsiyelerde bulunur. Tüm tarama geçmişi MariaDB veritabanında saklanır. Ajan döngüsü sayesinde AI, analiz sırasında ek araç çalıştırılmasını talep edebilir.
Neden Metatron? API anahtarı veya abonelik gerektirmeyen, tamamen ücretsiz ve lokal çalışan ilk kapsamlı AI pentest aracıdır. Sonuçları PDF ve HTML olarak dışa aktarabilir.
Kurulum ve Kullanım:
git clone https://github.com/sooryathejas/METATRON.git && cd METATRON
python3 -m venv venv && source venv/bin/activate
pip install -r requirements.txt
ollama pull huihui_ai/qwen3.5-abliterated:9b
ollama create metatron-qwen -f Modelfile
🔗 GitHub: github.com/sooryathejas/METATRON
⚡ 3. VILLAGER – AI-NATİVE RED TEAMİNG FRAMEWORK’Ü
Ne işe yarar? Villager, PyPI’da Temmuz 2025’te yayınlandığından beri 11.000’den fazla indirilme sayısına ulaşmış, AI destekli bir red teaming ve penetrasyon testi çerçevesidir. Kali Linux araç setleri, LangChain ve DeepSeek AI modelleriyle entegre çalışır. Doğal dil komutlarını teknik talimatlara çevirir, keşif, exploitation ve post‑exploitation süreçlerini otomatize eder. Ayrıca geçici Kali Linux konteynırları oluşturup 24 saat sonra yok ederek adli izleri minimize eder. 4.200’den fazla AI prompt’u ile anlık exploit üretimi ve adaptif saldırı stratejileri sunar.
Neden Villager? Cobalt Strike’ın AI‑native varisi olarak tanımlanan Villager, doğal dil ile sızma testi yapmak isteyen ekipler için en hızlı çözümlerden biridir. Ciddi güvenlik endişeleri de yaratmıştır; saldırganlar tarafından kötüye kullanılma potansiyeli yüksektir.
Kurulum ve Kullanım:
pip install villager
villager "Hedef siteyi tara ve zafiyetleri raporla"
🔗 GitHub: pypi.org/project/villager
⚡ 4. STRIX – OTONOM AI GÜVENLİK TEST SİSTEMİ
Ne işe yarar? Strix, gerçek koşullarda kod çalıştıran, zafiyetleri tespit eden ve her bir bulguyu çalışan bir proof‑of‑concept exploit ile doğrulayan otonom AI güvenlik test sistemidir. İnsan hacker gibi davranan AI ajanları ile çalışır. Bulgularını teorik uyarılar yerine gerçek kanıtlarla sunar, böylece yanlış pozitif oranını minimize eder. Ayrıca takım halinde çalışan ajanları destekler, görevleri dağıtır ve hedefler arasında ölçeklenir. Remedasyon desteği ve CI/CD entegrasyonu ile geliştirme süreçlerine doğrudan entegre edilebilir.
Neden Strix? Geliştiriciler için tasarlanmış, Docker, Python ve bir LLM ile lokal olarak çalıştırılabilen veya bulut sürümü ile API anahtarı yönetimini ortadan kaldıran esnek bir çözümdür. Hızlı penetrasyon testlerini saatler içinde tamamlayıp uyumluluk raporları üretebilir.
Kurulum ve Kullanım:
docker run -it strix-agent pentest https://hedef.com
🔗 GitHub: github.com/Strix-AI/strix
⚡ 5. PENTESTGPT – LLM DESTEKLİ PENTEST ASİSTANI
Ne işe yarar? PentestGPT, USENIX Security 2024’te yayınlanan bir araştırma prototipidir. Üç ana bileşenden oluşur: test üretme modülü, test muhakeme modülü ve ayrıştırma modülü. Kullanıcı hedef bilgilerini girdikten sonra bir görev ağacı oluşturur, çalıştırılacak komutları üretir ve kullanıcının çıktıları girmesini bekler. Ardından girdileri işler, görev ağacını günceller ve bir sonraki adımı belirler. Bu döngü, kullanıcı çıkış yapana kadar devam eder. Çevrimiçi arama, RAG ve daha güçlü prompting özellikleri ile v2.0 sürümüne hazırlanmaktadır.
Neden PentestGPT? Sızma testi sürecinde adım adım rehberlik almak isteyen pentester’lar için ideal bir yardımcıdır. Ayrıca yazarları tarafından geliştirilen yeni nesil Cybersecurity AI (CAI) projesi, PentestGPT’nin temelleri üzerine inşa edilmiştir.
Kurulum ve Kullanım:
pip install git+https://github.com/GreyDGL/PentestGPT
export OPENAI_API_KEY='your_key_here'
pentestgpt
🔗 GitHub: github.com/carlosrinc/pentestgpt
⚡ 6. APEX – TERMİNALDE OTONOM PENTEST AJANI
Ne işe yarar? Apex, terminalinizde doğrudan çalışan otonom bir penetrasyon test ajanıdır. Mevcut tarayıcıları sarmalamaz veya shell script’lerini zincirlemez. Bunun yerine, keşif, kimlik doğrulama analizi, exploitation ve kod incelemesi konularında uzmanlaşmış özel AI ajanlarından oluşan bir “sürü” (swarm) konuşlandırır. Bu ajanlar paralel olarak saldırı yüzeyinizi test eder. Her bulgu CVSS 4.0 skoru, CWE sınıflandırması, kanıt ve doğrulanmış bir proof‑of‑concept ile birlikte gelir. Otonom mod (/pentest) veya interaktif mod (/operator) olarak çalıştırılabilir.
Neden Apex? npm test gibi çalışan ama bir red team gibi düşünen, geliştiricilerin PR öncesi güvenlik testlerini doğal bir süreç haline getirmesini sağlayan ilk araçtır. Ayrıca Kali Linux konteynırı ile 25+ ek saldırı aracını (nmap, sqlmap, hydra, hashcat) entegre edebilirsiniz.
Kurulum ve Kullanım:
npm install -g @pensar/apex
pensar
🔗 GitHub: npmjs.com/package/@pensar/apex
⚡ 7. REDAMON – OTONOM RED TEAM FRAMEWORK’Ü
Ne işe yarar? RedAmon, keşiften exploitation’a ve post‑exploitation’a kadar tüm operasyonları insan müdahalesi olmadan otomatize eden, AI destekli bir red team çerçevesidir. Üç AI ajanı paralel olarak çalışır: biri Hydra ile kimlik bilgisi politikalarını test eder, biri bir CVE exploit yolunu doğrular, biri XSS zafiyetlerini haritalar. Altı aşamalı keşif motoru, bulguları Neo4j bilgi grafiğinde depolar. Ardından AI triage ajanı yüzlerce bulguyu önceliklendirir, CodeFix ajanı ise ilgili kod tabanına düzeltmeleri uygulayıp GitHub pull request açar.
Neden RedAmon? Sadece zafiyet bulmakla kalmayıp, onları düzelten ve doğrudan kod tabanınıza entegre eden ilk AI çerçevedir. Offense ve defense’i tek bir pipeline’da birleştirir.
Kurulum ve Kullanım:
git clone https://github.com/samugit83/redamon.git
cd redamon
docker-compose up
🔗 GitHub: github.com/samugit83/redamon
⚡ 8. SHANNON – TAMAMEN OTONOM AI PENTESTER
Ne işe yarar? Shannon, sadece potansiyel zafiyetleri bildirmek yerine, bunları gerçekten istismar ederek kanıtlayan tamamen otonom bir AI pentester’dır. Hedef web uygulamasının kodunu analiz eder, ardından yerleşik bir tarayıcı kullanarak enjeksiyon saldırıları, kimlik atlatma gibi gerçek exploit’leri çalıştırır ve zafiyetin gerçekten istismar edilebilir olduğunu kanıtlar. Shannon Lite, XBOW benchmark’ında %96.15 başarı oranına ulaşmıştır. 2FA/TOTP girişleri ve “Google ile giriş” gibi akışları da otomatik olarak yönetebilir.
Neden Shannon? Yılda bir kez yapılan penetrasyon testleri ile sürekli kod gönderimi arasındaki güvenlik açığını kapatmak için tasarlanmıştır. Her build’in güvenliğini sağlamak isteyen ekipler için idealdir.
Kurulum ve Kullanım:
git clone https://github.com/ahmadasrizalmi/pentest.git
cd pentest
npm install
npx shannon https://hedef.com
🔗 GitHub: github.com/ahmadasrizalmi/pentest
⚡ 9. GARAK – NVIDIA DESTEKLİ LLM ZAFİYET TARAYICISI
Ne işe yarar? Garak, NVIDIA tarafından desteklenen, açık kaynaklı bir LLM zafiyet tarayıcısıdır. Halüsinasyonlar, prompt injection, jailbreak ve toksik çıktılar gibi sorunları test eden 100’den fazla saldırı modülüne sahiptir. Hugging Face, OpenAI, Replicate, LiteLLM ve REST üzerinden erişilebilen çoğu sistemi destekler. Her çalıştırmada ayrıntılı JSONL raporları ve zafiyet tespit edildiğinde hit logları oluşturur. OWASP Top 10 for LLM ile tam uyumludur.
Neden Garak? LLM güvenliği alanında en kapsamlı ve en çok referans alınan açık kaynak araçlardan biridir. Microsoft, Trend Micro, Nvidia ve Cisco tarafından önerilmekte ve kullanılmaktadır.
Kurulum ve Kullanım:
pip install garak
garak --model_type openai --model_name gpt-4o --probes all
🔗 GitHub: github.com/NVIDIA/garak
⚡ 10. AUGUSTUS – GO İLE YAZILMIŞ HIZLI LLM SCANNER
Ne işe yarar? Augustus, Garak’ın Go-native reimplementasyonudur. 210+ adversarial saldırı ile prompt injection, jailbreak, encoding exploit, data extraction ve daha fazlasını test eder. Tek bir Go binary’si olarak dağıtılır, Python runtime bağımlılığı yoktur. 28 LLM sağlayıcısına kutudan çıkar bağlanır ve Go’nun goroutine havuzları sayesinde Garak’tan daha hızlı çalışır. DAN (Do Anything Now) varyantlarından Goodside-style prompt injection’a kadar geniş bir saldırı yelpazesini kapsar.
Neden Augustus? Penetrasyon testi iş akışlarına sorunsuz entegre olmak isteyen operatörler için tasarlanmıştır. Python ortamları veya npm kurulumları gerektirmez; tek bir binary ile çalışır.
Kurulum ve Kullanım:
# Binary indir (Linux/macOS/Windows)
wget https://github.com/praetorian-inc/augustus/releases/latest/download/augustus-linux-amd64
chmod +x augustus-linux-amd64
./augustus-linux-amd64 scan --model openai/gpt-4o
🔗 GitHub: github.com/praetorian-inc/augustus
🧩 ÖZET TABLOSU
| # | Araç | Tür | Dil/Platform | Öne Çıkan Özellik |
|---|---|---|---|---|
| 1 | ALAPA | Otonom Pentest | Python | Tamamen lokal, bulut bağımlılığı yok |
| 2 | Metatron | AI Asistan | Python | API anahtarı gerektirmez, MariaDB geçmiş |
| 3 | Villager | Red Teaming | Python | 4.200+ prompt, geçici Kali konteynırları |
| 4 | Strix | Otonom Test | Docker/Python | PoC doğrulama, takım halinde ajanlar |
| 5 | PentestGPT | Pentest Asistanı | Python | USENIX Security 2024, görev ağacı |
| 6 | Apex | Otonom Ajan | Node.js | Swarm mimarisi, CVSS 4.0 + CWE |
| 7 | RedAmon | Red Team | Docker/Python | Neo4j bilgi grafiği, CodeFix + GitHub PR |
| 8 | Shannon | Otonom Pentester | Node.js | %96.15 başarı, 2FA/TOTP desteği |
| 9 | Garak | LLM Scanner | Python | NVIDIA destekli, 100+ modül |
| 10 | Augustus | LLM Scanner | Go | 210+ saldırı, 28 LLM sağlayıcısı |
🔚;
Bu 10 araç, AI destekli hacking dünyasının en güçlü açık kaynak temsilcileridir. Otonom pentest’ten LLM red teaming’e, lokal AI asistanlardan bulut tabanlı sürülere kadar geniş bir yelpazede ihtiyacınıza uygun bir aracı mutlaka bulacaksınız. 🚀Bu rehber, eğitim ve farkındalık için hazırlanmıştır. Tüm sorumluluk kullanıcıya aittir.
@Tc4dy | github.com/tc4dy
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
