npm - pentesting - Versions diffs - 0.8.0 → 0.8.2 - Mend

pentesting 0.8.0 → 0.8.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (7) hide show

package/README.md +45 -354
package/dist/{auto-update-FWXZGK5Z.js → auto-update-NUVK35LG.js} +2 -2
package/dist/{chunk-5QWIIPHH.js → chunk-IYELGZKK.js} +10 -1
package/dist/{chunk-AIBIXGJI.js → chunk-N27ISRFF.js} +1 -1
package/dist/index.js +6 -5
package/dist/{update-OD3N757W.js → update-VGGUNUWQ.js} +2 -2
package/package.json +1 -1

package/README.md CHANGED Viewed

@@ -1,391 +1,82 @@
-# 🎯 Pentesting
-<p align="center">
-  <img src="docs/assets/pentesting-logo.png" alt="Pentesting" width="400">
-</p>
-<p align="center">
-  <strong>인간처럼 생각하고 실행하는 자율 침투 테스트 AI 에이전트</strong>
-</p>
-<p align="center">
-  <a href="https://www.npmjs.com/package/pentesting"><img src="https://img.shields.io/npm/v/pentesting.svg?style=for-the-badge" alt="npm version"></a>
-  <a href="https://github.com/agnusdei1207/pentesting/actions"><img src="https://img.shields.io/github/actions/workflow/status/agnusdei1207/pentesting/ci.yml?branch=main&style=for-the-badge" alt="CI status"></a>
-  <a href="LICENSE"><img src="https://img.shields.io/badge/License-MIT-blue.svg?style=for-the-badge" alt="MIT License"></a>
-</p>
----
-## 💡 철학: 왜 Pentesting인가?
-### 문제
-기존 침투 테스트는 **도구 중심**입니다:
-- nmap으로 스캔하고, 결과를 보고
-- sqlmap으로 테스트하고, 다른 도구로 넘어가고
-- 각 도구의 출력을 해석하고, 다음 단계를 결정하고
-이것은 **반복적이고, 시간 소모적이며, 전문가 지식이 필요**합니다.
-### 해결책
-Pentesting은 **사고 중심**입니다:
-- "이 웹 애플리케이션을 침투하라"
-- 에이전트가 스스로 도구를 선택하고, 결과를 분석하고, 다음 전략을 결정합니다
+<div align="center">
 ```
-Before (도구 중심):
-  Human → [결정] → nmap → [분석] → [결정] → sqlmap → [분석] → ...
-After (사고 중심):
-  Human → "침투하라" → Pentesting Agent → [자동화된 사고-행동 루프] → 보고서
+   ██████╗ ███████╗███╗   ██╗████████╗███████╗███████╗████████╗██╗███╗   ██╗ ██████╗
+   ██╔══██╗██╔════╝████╗  ██║╚══██╔══╝██╔════╝██╔════╝╚══██╔══╝██║████╗  ██║██╔════╝
+   ██████╔╝█████╗  ██╔██╗ ██║   ██║   █████╗  ███████╗   ██║   ██║██╔██╗ ██║██║  ███╗
+   ██╔═══╝ ██╔══╝  ██║╚██╗██║   ██║   ██╔══╝  ╚════██║   ██║   ██║██║╚██╗██║██║   ██║
+   ██║     ███████╗██║ ╚████║   ██║   ███████╗███████║   ██║   ██║██║ ╚████║╚██████╔╝
+   ╚═╝     ╚══════╝╚═╝  ╚═══╝   ╚═╝   ╚══════╝╚══════╝   ╚═╝   ╚═╝╚═╝  ╚═══╝ ╚═════╝
 ```
-### 핵심 신념
-1. **AI는 도구가 아니라 동료입니다**
-   - 명령을 실행하는 것이 아니라 목표를 달성합니다
-   - 실패하면 스스로 다른 방법을 찾습니다
+**Autonomous AI Penetration Testing Agent**
-2. **신뢰할 수 있는 결과만 보고합니다**
-   - 80% 이상 신뢰도의 발견만 보고
-   - 거짓 양성을 적극적으로 필터링
+[![npm version](https://badge.fury.io/js/pentesting.svg)](https://www.npmjs.com/package/pentesting)
+[![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT)
-3. **인간 전문가의 사고 과정을 모방합니다**
-   - "Think → Act → Observe → Reflect" 루프
-   - 막다른 길에서 시간여행으로 복구 (D-Mail)
+</div>
 ---
-## 🧠 ReAct: 생각하고 행동하기
-Pentesting은 [ReAct 패턴](https://arxiv.org/abs/2210.03629)을 핵심으로 합니다:
-```
-┌─────────────────────────────────────────────────────────────────┐
-│                                                                 │
-│   🤔 THINK                                                      │
-│   "타겟이 Apache 2.4.49를 실행 중이다.                         │
-│    Path Traversal 취약점(CVE-2021-41773)이 있을 수 있다."       │
-│                                                                 │
-│   ⚡ ACT                                                        │
-│   [nmap_scan] target=192.168.1.1 ports=80,443                  │
-│                                                                 │
-│   👁️ OBSERVE                                                   │
-│   "포트 80에서 Apache/2.4.49 확인.                              │
-│    mod_cgi 활성화됨."                                           │
-│                                                                 │
-│   💭 REFLECT                                                    │
-│   "CVE-2021-41773 가능성 높음. 익스플로잇 시도해야 함.          │
-│    신뢰도: 85%. 다음: exploit-researcher에게 위임."             │
-│                                                                 │
-└─────────────────────────────────────────────────────────────────┘
-```
----
-## 🚀 빠른 시작
-### 설치
+## Quick Start
 ```bash
 npm install -g pentesting
-# 또는
-npx pentesting
-```
-### API 키 설정
-```bash
-export ANTHROPIC_API_KEY=sk-ant-xxx
-```
-### 실행
+# GLM example
+export PENTEST_API_KEY="your_api_key"
+export PENTEST_BASE_URL="https://api.z.ai/api/anthropic"
+export PENTEST_MODEL="glm-4.7"
-```bash
 pentesting
 ```
-### 첫 번째 공격
-```
-🎯 Pentesting > scan 192.168.1.1
-```
-에이전트가 자동으로:
-1. 포트 스캔 수행
-2. 서비스 버전 확인
-3. 취약점 검색
-4. 익스플로잇 시도
-5. 결과 보고
----
-## 🏗️ 아키텍처
-```
-┌─────────────────────────────────────────────────────────────────────┐
-│                         PENTESTING SOUL                             │
-│                                                                     │
-│  ┌───────────────┐  ┌───────────────┐  ┌───────────────┐           │
-│  │   ReAct Loop  │  │   D-Mail      │  │   Planner     │           │
-│  │               │  │   System      │  │               │           │
-│  │  Think/Act/   │  │  Time Travel  │  │  Attack Plan  │           │
-│  │  Observe/     │  │  Checkpoint   │  │  Generation   │           │
-│  │  Reflect      │  │  Rollback     │  │               │           │
-│  └───────┬───────┘  └───────┬───────┘  └───────┬───────┘           │
-│          │                  │                  │                    │
-│          └──────────────────┼──────────────────┘                    │
-│                             │                                       │
-│  ┌──────────────────────────▼──────────────────────────────────┐   │
-│  │                        RUNTIME                               │   │
-│  │  Context │ Toolset │ Memory │ Approval                      │   │
-│  └──────────────────────────────────────────────────────────────┘   │
-└──────────────────────────────┬──────────────────────────────────────┘
-                               │
-                               ▼
-┌─────────────────────────────────────────────────────────────────────┐
-│                        LABOR MARKET                                 │
-│  ┌──────────────┐  ┌──────────────┐  ┌──────────────┐              │
-│  │   Recon      │  │   Exploit    │  │   Web        │              │
-│  │   Agent      │  │   Agent      │  │   Agent      │              │
-│  └──────────────┘  └──────────────┘  └──────────────┘              │
-└─────────────────────────────────────────────────────────────────────┘
-```
-### 핵심 컴포넌트
-| 컴포넌트 | 역할 |
-|---------|------|
-| **PentestingSoul** | 메인 에이전트 루프, 모든 것을 조율 |
-| **ReActLoop** | Think/Act/Observe/Reflect 패턴 구현 |
-| **DMailSystem** | 시간여행 디버깅, 체크포인트 롤백 |
-| **Planner** | 공격 계획 생성 및 관리 |
-| **LaborMarket** | 전문 서브에이전트 할당 |
-| **ContextManager** | 대화 히스토리 압축 |
-| **ConfidenceFilter** | 80%+ 신뢰도 필터링 |
----
-## ⏱️ D-Mail: 시간여행 디버깅
-막다른 길에 도달했을 때, 에이전트는 과거로 메시지를 보내 다른 경로를 시도합니다:
-```
-현재: SQLi 시도 5회 모두 실패
-      ↓
-D-Mail 전송: "SQLi 실패함. XSS 시도할 것"
-      ↓
-체크포인트로 롤백
-      ↓
-새로운 전략으로 재시도
-```
-```typescript
-// 에이전트 내부 동작
-if (isStuck) {
-    dmailSystem.sendDMail(
-        'SQLi approach failed. Try XSS instead.',
-        lastCheckpoint,
-        'Stuck after 5 SQLi attempts'
-    );
-    throw new BackToTheFuture('Time travel initiated', lastCheckpoint);
-}
-```
----
-## 👥 멀티 에이전트 시스템
-### 전문 에이전트
-| 에이전트 | 전문 분야 | 도구 |
-|---------|-----------|------|
-| **target-explorer** | 정찰, 정보 수집 | nmap, whois, dig |
-| **exploit-researcher** | 취약점 연구 | searchsploit, cve-search |
-| **web-hacker** | 웹 애플리케이션 | sqlmap, nuclei |
-| **crypto-analyst** | 암호 분석 | hashcat, john |
-### 에이전트 위임
-```
-Main Agent: "웹 서버에서 SQLi 가능성 발견"
-     ↓
-     └──→ [web-hacker] "로그인 폼에서 SQLi 테스트"
-                ↓
-                └──→ 결과 반환: "SQLi 확인, 데이터베이스 덤프 가능"
-```
-### 병렬 Swarm 실행
-```typescript
-const swarm = new AgentSwarm(runtime);
-const results = await swarm.executeParallel([
-    { agentName: 'web-hacker', task: 'Test SQLi on login' },
-    { agentName: 'web-hacker', task: 'Test XSS on search' },
-    { agentName: 'target-explorer', task: 'Find hidden endpoints' },
-]);
-```
----
-## 🔒 신뢰도 기반 필터링
-**80% 이상 신뢰도만 보고합니다.**
-```
-신뢰도 계산:
-  기본값: 50%
-  + 증거 수 × 10% (최대 30%)
-  + 익스플로잇 가능: +15%
-  + 심각도 높음: +5-10%
-  + CVE 참조: +10%
-  = 최종 신뢰도
-```
-```typescript
-const finding = createFinding({
-    title: 'SQL Injection in login',
-    description: 'Time-based blind SQLi',
-    severity: 'critical',
-    evidence: ['sqlmap output', 'response time analysis', 'CVE-2021-xxxx'],
-    exploitable: true,
-});
-// 신뢰도: 50 + 30 + 15 + 10 + 10 = 115% → 100%
-// → 보고됨 ✅
-```
----
-## 📋 명령어
-| 명령어 | 설명 |
-|--------|------|
-| `scan <target>` | 타겟 스캔 및 정찰 |
-| `exploit <target>` | 취약점 익스플로잇 |
-| `report` | 발견 사항 보고서 생성 |
-| `status` | 현재 진행 상황 |
-| `plan` | 공격 계획 조회 |
-| `agents` | 사용 가능한 에이전트 목록 |
----
-## ⚙️ 설정
-```typescript
-// pentesting.config.ts
-export default {
-    // LLM 설정
-    model: 'claude-opus-4-0',
-    maxTokens: 8096,
-    // 에이전트 설정
-    maxStepsPerTurn: 50,
-    confidenceThreshold: 80,
-    // 컨텍스트 설정
-    maxContextTokens: 150000,
-    compactionThreshold: 0.8,
-    // 승인 설정
-    yoloMode: false, // true면 모든 도구 자동 승인
-};
-```
 ---
-## 🧪 테스트
+## Environment Variables
-```bash
-npm test
-```
-```
- ✓ tests/soul.test.ts (24 tests) 10ms
-   ✓ Context
-   ✓ AgentRegistry
-   ✓ ConfidenceFilter
-   ✓ ReActLoop
-   ✓ DMailSystem
-   ✓ MessageBus
-   ✓ MemoryManager
-   ✓ Integration Tests
-```
+| Variable | Required | Default | Description |
+|----------|----------|---------|-------------|
+| `PENTEST_API_KEY` | ✅ | - | API key (`ANTHROPIC_API_KEY` also works) |
+| `PENTEST_BASE_URL` | | - | Custom API endpoint URL |
+| `PENTEST_MODEL` | | `claude-sonnet-4-20250514` | LLM model name |
+| `PENTEST_MAX_TOKENS` | | `16384` | Max response tokens |
 ---
-## 📁 프로젝트 구조
+## Features
-```
-src/
-├── soul/                    # 핵심 에이전트 시스템
-│   ├── pentesting-soul.ts   # 메인 에이전트 루프
-│   ├── react.ts             # ReAct 패턴
-│   ├── dmail.ts             # 시간여행 시스템
-│   ├── planner.ts           # 계획 시스템
-│   ├── swarm.ts             # 병렬 에이전트
-│   ├── confidence.ts        # 신뢰도 필터링
-│   └── ...
-├── tools/                   # 도구 정의
-├── agents/                  # 에이전트 스펙
-├── experience/              # 학습 시스템
-└── prompts/                 # 프롬프트 템플릿
-```
+- **Soul Architecture** - ReAct pattern: Think → Act → Observe → Reflect
+- **9 Specialized Agents** - Recon, Exploit, PrivEsc, Web, Crypto...
+- **80%+ Confidence Filter** - Only high-confidence findings
+- **D-Mail Time Travel** - Auto-recovery from dead ends
+- **50+ Security Tools** - nmap, sqlmap, gobuster, hydra...
 ---
-## 📖 문서
+## Commands
-- [시스템 아키텍처](docs/architecture.md) - 상세 기술 문서
-- [OpenClaw 분석](docs/OPENCLAW_ANALYSIS.md) - 개선 계획
-- [API 레퍼런스](docs/api-reference.md) - API 문서
-- [구현 진행 상황](docs/IMPLEMENTATION_PROGRESS.md) - 개발 상태
+| Command | Description |
+|---------|-------------|
+| `/target <ip>` | Set target |
+| `/start [objective]` | Start autonomous pentest |
+| `/findings` | Show findings |
+| `/status` | Status |
+| `/yolo` | Toggle auto-approve |
+| `/help` | Help |
 ---
-## 🛣️ 로드맵
+## Documentation
-### v1.0 (현재) ✅
-- [x] ReAct 패턴 구현
-- [x] D-Mail 시간여행
-- [x] 멀티 에이전트 시스템
-- [x] 신뢰도 필터링
-- [x] 컨텍스트 압축
-### v1.1 (다음)
-- [ ] 영구 벡터 메모리
-- [ ] 세션 영속성
-- [ ] 강화된 훅 시스템
-### v1.2 (계획)
-- [ ] Docker 샌드박스
-- [ ] 스킬 마켓플레이스
-- [ ] 인증 프로필 관리
----
-## 🤝 기여
-기여를 환영합니다! [CONTRIBUTING.md](CONTRIBUTING.md)를 참고하세요.
+- [Architecture](docs/architecture.md)
+- [API Reference](docs/api-reference.md)
+- [Troubleshooting](docs/troubleshooting.md)
 ---
-## 📜 라이선스
+## License
-MIT License - [LICENSE](LICENSE)
----
-## ⚠️ 면책 조항
-이 도구는 **합법적인 보안 테스트 목적**으로만 사용해야 합니다.
-허가 없이 시스템을 테스트하는 것은 불법입니다.
-사용자는 모든 행동에 대한 책임을 집니다.
----
+MIT
-<p align="center">
-  <sub>Built with 🧠 by <a href="https://github.com/agnusdei1207">agnusdei1207</a></sub>
-</p>
+⚠️ **For authorized security testing only.**

package/dist/{auto-update-FWXZGK5Z.js → auto-update-NUVK35LG.js} RENAMED Viewed

@@ -8,8 +8,8 @@ import {
   readVersionCache,
   semverTuple,
   writeVersionCache
-} from "./chunk-AIBIXGJI.js";
-import "./chunk-5QWIIPHH.js";
+} from "./chunk-N27ISRFF.js";
+import "./chunk-IYELGZKK.js";
 import "./chunk-3RG5ZIWI.js";
 export {
   checkForUpdate,

package/dist/{chunk-5QWIIPHH.js → chunk-IYELGZKK.js} RENAMED Viewed

@@ -186,7 +186,7 @@ var SENSITIVE_TOOLS = [
 // src/config/constants.ts
 import { createRequire } from "module";
-var pkgVersion = "0.7.48";
+var pkgVersion = "0.8.0";
 try {
   const require2 = createRequire(import.meta.url);
   const pkg = require2("../../package.json");
@@ -200,6 +200,14 @@ var LLM_API_KEY = process.env.PENTEST_API_KEY || process.env.ANTHROPIC_API_KEY |
 var LLM_BASE_URL = process.env.PENTEST_BASE_URL || void 0;
 var LLM_MODEL = process.env.PENTEST_MODEL || "claude-sonnet-4-20250514";
 var LLM_MAX_TOKENS = parseInt(process.env.PENTEST_MAX_TOKENS || "16384", 10);
+var CONTEXT_WINDOW = {
+  maxTokens: 2e5,
+  // Claude's context window size
+  compactionThreshold: 15e4,
+  // Trigger compaction at 75% usage
+  reservedTokens: 4e3
+  // Reserved for system prompt
+};
 var AGENT_CONFIG = {
   maxIterations: 200,
   maxToolCallsPerIteration: 10,
@@ -240,5 +248,6 @@ export {
   LLM_BASE_URL,
   LLM_MODEL,
   LLM_MAX_TOKENS,
+  CONTEXT_WINDOW,
   AGENT_CONFIG
 };

package/dist/{chunk-AIBIXGJI.js → chunk-N27ISRFF.js} RENAMED Viewed

@@ -1,7 +1,7 @@
 import {
   APP_NAME,
   APP_VERSION
-} from "./chunk-5QWIIPHH.js";
+} from "./chunk-IYELGZKK.js";
 // src/core/update/auto-update.ts
 import { execSync } from "child_process";

package/dist/index.js CHANGED Viewed

@@ -6,6 +6,7 @@ import {
   APP_DESCRIPTION,
   APP_VERSION,
   CLI_COMMAND,
+  CONTEXT_WINDOW,
   LLM_API_KEY,
   LLM_BASE_URL,
   LLM_MAX_TOKENS,
@@ -15,7 +16,7 @@ import {
   PHASE_STATUS,
   THOUGHT_TYPE,
   TOOL_NAME
-} from "./chunk-5QWIIPHH.js";
+} from "./chunk-IYELGZKK.js";
 import {
   __require
 } from "./chunk-3RG5ZIWI.js";
@@ -3162,7 +3163,7 @@ function getHistoryTokens(messages) {
     return total + estimateTokens(content);
   }, 0);
 }
-function needsCompaction(messages, maxTokens = 15e4, minMessages = 10) {
+function needsCompaction(messages, maxTokens = CONTEXT_WINDOW.compactionThreshold, minMessages = 10) {
   if (messages.length < minMessages) return false;
   return getHistoryTokens(messages) > maxTokens;
 }
@@ -3218,7 +3219,7 @@ var ContextManager = class {
   client;
   constructor(client, options) {
     this.client = client;
-    this.maxTokens = options?.maxTokens ?? 15e4;
+    this.maxTokens = options?.maxTokens ?? CONTEXT_WINDOW.compactionThreshold;
     this.warningThreshold = options?.warningThreshold ?? 12e4;
   }
   /**
@@ -6983,7 +6984,7 @@ var App = ({ autoApprove = false, target }) => {
         setCheckpointCount(contextManagerRef.current?.getCheckpoints().length || 0);
       }
     });
-    import("./auto-update-FWXZGK5Z.js").then(({ checkForUpdateAsync, formatUpdateNotification }) => {
+    import("./auto-update-NUVK35LG.js").then(({ checkForUpdateAsync, formatUpdateNotification }) => {
       checkForUpdateAsync().then((result) => {
         if (result.hasUpdate) {
           const notification = formatUpdateNotification(result);
@@ -7686,7 +7687,7 @@ ${list}`);
           return;
         case "update":
           try {
-            const { checkForUpdate, formatUpdateNotification, doUpdate } = await import("./update-OD3N757W.js");
+            const { checkForUpdate, formatUpdateNotification, doUpdate } = await import("./update-VGGUNUWQ.js");
             const result = checkForUpdate(true);
             if (result.hasUpdate) {
               const notification = formatUpdateNotification(result);

package/dist/{update-OD3N757W.js → update-VGGUNUWQ.js} RENAMED Viewed

@@ -8,8 +8,8 @@ import {
   readVersionCache,
   semverTuple,
   writeVersionCache
-} from "./chunk-AIBIXGJI.js";
-import "./chunk-5QWIIPHH.js";
+} from "./chunk-N27ISRFF.js";
+import "./chunk-IYELGZKK.js";
 import "./chunk-3RG5ZIWI.js";
 export {
   checkForUpdate,

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "pentesting",
-  "version": "0.8.0",
+  "version": "0.8.2",
   "description": "Autonomous Penetration Testing AI Agent",
   "type": "module",
   "main": "dist/index.js",