PentestGPT (github.com/GreyDGL/PentestGPT), sızma testi (penetrasyon testi) süreçlerini otomatize etmek için Large Language Model (LLM) teknolojisini kullanan yenilikçi bir güvenlik aracıdır.
Klasik tarayıcıların aksine, bir "beyin" gibi çalışarak sızma testinin farklı aşamalarını birbirine bağlar. 2026 yılı itibarıyla, sadece statik komutlar önermekle kalmayıp, karmaşık saldırı vektörlerini mantıksal bir silsile içinde yürütebilen otonom bir yapıya bürünmüştür.
En büyük farkı: PentestGPT, testi bir "akıl yürütme" süreci olarak görür. Bir araçtan aldığı veriyi analiz eder, hedefin zayıf noktasını belirler ve bir sonraki adım için stratejik bir karar vererek etik hacker'lara rehberlik eder.
Temel Özellikler
Otonom Sızma Testi Mantığı: Keşif (Reconnaissance) aşamasından yetki yükseltme (Privilege Escalation) aşamasına kadar testi adım adım planlar ve yönetir. Üçlü Modül Yapısı: "Reasoning" (Mantık yürüten), "Generation" (Komut üreten) ve "Parsing" (Çıktı analiz eden) modülleriyle hatasız bir iş akışı sağlar.
Araç Entegrasyonu ve Analiz: Nmap, Nikto, Gobuster gibi popüler araçların çıktılarını saniyeler içinde okur ve bu çıktılardaki kritik açıkları tespit eder.
Exploit ve Payload Önerileri: Hedef sistemdeki zafiyete özel (CVE bazlı) exploit önerileri sunar ve bunları sisteme göre özelleştirir.
Hata Giderme (Self-Healing): Bir komut hata verdiğinde veya beklenen sonucu vermediğinde nedenini analiz eder ve alternatif bir saldırı yolu geliştirir.
Raporlama Desteği: Test boyunca yapılan her işlemi ve elde edilen bulguları teknik bir rapor formatında kaydeder. Çapraz LLM Desteği: OpenAI (GPT-4o/5), Claude 3.5/4 ve yerel modellerle (Llama 3 vb.) entegre olarak çalışabilir.
Kimler İçin Uygun?
Sızma testi uzmanları ve Kırmızı Takım (Red Team) üyeleri Güvenlik araştırmacıları ve Bug Bounty avcıları Siber güvenlik öğrencileri ve CTF oyuncuları DevSecOps süreçlerini otomatize etmek isteyen güvenlik mühendisleri Yapay zekanın siber güvenlikteki sınırlarını keşfetmek isteyen yazılımcılar
Fiyatlandırma (2026 güncel)
Open Source (GitHub): Tamamen ücretsizdir. Kendi API anahtarınızla yerel makinenizde veya Docker üzerinde çalıştırabilirsiniz.
PentestGPT SaaS: Aylık ≈ 30 USD. API anahtarı gerektirmeyen, bulut tabanlı hazır altyapı, özel zafiyet veritabanları ve gelişmiş raporlama özellikleri sunar.
Enterprise: Şirket içi kapalı ağlarda çalışma (Air-gapped) ve özel sızma testi şablonları içeren kurumsal teklifler.
Kullanım Bilgileri
GitHub üzerinden klonlanarak Python (pip install) veya Docker aracılığıyla kolayca kurulur Interaktif bir terminal arayüzü (CLI) sunar, her adımda kullanıcı onayına ve yönlendirmesine izin verir Teknik bir araç olduğu için siber güvenlik terminolojisine ve temel Linux kullanımına hakimiyet gerektirir 2026 sürümüyle birlikte görsel analiz yeteneği (Vision) kazanmıştır; ekran görüntülerini okuyarak web arayüzündeki açıkları fark edebilir Yasal Uyarı: Sadece yasal izin alınan hedef sistemlerde kullanılmalıdır; kötü niyetli kullanımı platform politikalarına aykırıdır
Örnek Kullanımlar
Hedef Analizi → "Hedef IP üzerindeki açık portları tara ve bulduğun HTTP servisindeki potansiyel zafiyetleri listele."
Ayrıcalık Yükseltme → "Linux sistemde düşük yetkili bir shell aldım. SUID dosyalarını ve kernel sürümünü kontrol ederek root olma yollarını öner."
Zafiyet Analizi → "Bu Burp Suite isteğindeki parametreleri analiz et ve IDOR zafiyeti olup olmadığını test edecek payload'lar hazırla."
CTF Çözümü → "Makinedeki şifreli dosyayı buldum, olası şifreleme türlerini analiz et ve kırma (brute force) stratejisi oluştur."
Rapor Üretimi → "Şu ana kadar yaptığımız tüm keşif ve exploit adımlarını yönetici özetiyle birlikte teknik dökümana dönüştür."
PentestGPT, yapay zekayı bir "Junior Pentester" olarak ekibinize dahil eden, siber güvenlik testlerinde hızı ve stratejik derinliği artıran güçlü bir açık kaynak projesidir.