Claude Codeをサブエージェントで武装させて、認可ペネトレーションテストの全工程を担わせる試みが増えている。pentest-ai-agents(0xSteph/pentest-ai-agents)はその代表例で、2026年5月14日時点でGitHub Star 1,166・フォーク249のOSSだ。
35の専門エージェントが偵察からC2運用、報告書作成までを領域別にカバーする。コードはMITライセンス、インストールはワンライナーで、外部サーバーやPython依存もない。プロジェクト本体はAnthropic公式のサブエージェント機構にそのまま乗っている。
Claude Code全体の使い方は Claude Code完全ガイド2026:インストールから本番運用まで をご覧ください。
本稿では2026年5月3日リリースのv3.2.0をベースに、エージェント構成、Tier 1/Tier 2の実行モード分離、v3.2の4新エージェント、findings DBやスコープガードといった安全境界の設計、そして「攻撃支援OSSをLLMで束ねる」アプローチの限界までを冷静に読み解く。
- ・pentest-ai-agentsは35のClaude Code用サブエージェントを集めたOSSで、偵察・Web・AD・クラウド・モバイル・C2運用までを領域別にカバーする。
- ・Tier 1(助言)とTier 2(実行)を明確に分離し、Tier 2はスコープ宣言とコマンド承認ゲート前提で動作する。
- ・v3.2ではC2運用・コンテナ脱出・LLMレッドチーミング・オペレーターOpSecの4エージェントが追加され、攻撃面の網羅性が大きく拡張された。
1. pentest-ai-agentsの全体像|Claude Code用攻撃セキュリティAIエージェント集
pentest-ai-agentsは、35個のMarkdownファイルを ~/.claude/agents/ に配置するだけで動く。各ファイルはClaude Codeのサブエージェント仕様に準拠したYAMLフロントマター付きのシステムプロンプトで、領域知識と呼び出し条件が書き込まれている。
リポジトリの説明は明快だ。Turn Claude Code into your offensive security research assistant. Specialized AI subagents for authorized penetration testing ——認可された攻撃セキュリティ業務に特化したアシスタント、と冒頭で範囲を限定している。
Claude Code側のサブエージェント機能は、タスクの内容に応じて適切な専門エージェントを自動ルーティングする仕組みだ。ユーザーが「500端末のAD環境を2週間でテストする計画を立てて」と入力すれば、engagement-planner エージェントが呼び出されMITRE ATT&CKマッピング付きのフェーズ計画を返す。
- ・GitHub Star:1,166/フォーク:249。
- ・言語:Shell(インストーラと診断スクリプト)。エージェント本体は全てMarkdown。
- ・ライセンス:MIT。
- ・最新タグ:v3.2.0(2026-05-03公開)。
- ・トピック:ai-agents、claude-code、red-team、offensive-security、ctf、mitre-attack、bug-bounty、oscp。
特徴は「サーバーレス・依存ゼロ」設計だ。インストールスクリプトはリポジトリを一時ディレクトリにcloneし、エージェントファイルを ~/.claude/agents/ にコピーして終了する。冪等で、再実行すれば最新版に上書きされる。
実際のテストツール(nmap、nuclei、BloodHoundなど)は別途インストールする必要がある。install.sh --tools でapt/brew/pipx/goなどの経路から一括導入できるが、これは任意機能だ。
2. 35エージェントの構造|偵察から報告書までのAIエージェント連携
エージェントは大きく「攻撃」「防御・分析」「報告・学習」の3群に分類される。攻撃群が最多の28エージェント、防御・分析群が5エージェント、報告・学習群が2エージェントという内訳だ。
READMEに掲載されたエージェントマップは、計画 → 偵察 → 攻撃 → 後侵入 → 防御 → 報告の流れをひと目で示している。本稿でも同じ流れを簡易化した図で整理する。
engagement-planner"] --> R["2.偵察
osint / recon / vuln-scan"] R --> A["3.攻撃
web-hunter / ad-attacker / cloud"] A --> X["4.後侵入
privesc / container-breakout / c2"] X --> D["5.検知・分析
detection-engineer / forensics"] D --> RP["6.報告
report-generator"]
攻撃群はさらに「Web系」「AD系」「クラウド系」「モバイル/無線系」「ソーシャル系」「ペイロード/逆解析系」「チェイン系」に細分される。それぞれが対応する実ツールチェインを知識として持っている。
たとえば web-hunter はffuf、gobuster、feroxbuster、sqlmap、dalfox、Commixを知識ベースに含む。ユーザーが「このWebアプリでSQLi可能性のあるパラメータを洗い出したい」と問えば、調査手順とコマンド例を提示する設計だ。
ad-attacker はBloodHound、Impacket、NetExec/CrackMapExec、Certipy、kerbrute、Responder、ldapsearchを束ねる。Kerberos委任やADCS証明書サービス悪用といった近年のAD攻撃手法を含めて方法論を返す。
Claude Codeのサブエージェント機構は、本体プロンプトを汚さずに領域別の専門知識をプラグインのように追加できる。これにより「ペンテストの全領域を覚えた巨大プロンプト」ではなく「適切な専門家に自動ルーティング」というアーキテクチャを取れる。
3. Tier 1とTier 2の違い|AIエージェントの実行モード分離設計
このプロジェクトでもっとも重要な設計判断がTier 1(助言)とTier 2(実行)の分離だ。生成AIに実コマンドを叩かせる際の安全境界として、参考になる。
Tier 1モードでは全エージェントが「助言役」として動く。ユーザーは自分でツールを実行し、その出力を貼り付け、エージェントは分析と次手順の推奨を返す。コマンド実行はユーザー側の手元で完結する。
Tier 2モードでは特定の7エージェントが、ユーザーが宣言したスコープ内でClaude Codeを通じてコマンドを組み立て・実行する。各コマンドは実行前にClaude Codeの承認画面(Permission Prompt)に表示され、ユーザーが承認しない限り走らない。
| Tier 2 エージェント | 実行可能ツール | 主な用途 |
|---|---|---|
| recon-advisor | nmap, dig, whois, curl, netcat, traceroute, whatweb, nikto | スコープ内ホストの偵察 |
| vuln-scanner | nuclei, nikto, nmap NSEスクリプト | 既知脆弱性スキャン |
| web-hunter | ffuf, gobuster, feroxbuster, sqlmap, dalfox, whatweb | Webファジング・SQLi検証 |
| ad-attacker | BloodHound, Impacket, CrackMapExec, Certipy, ldapsearch, enum4linux | AD偵察と攻撃検証 |
| exploit-chainer | 複数ステップの攻撃チェイン実行 | 承認ゲート付きでの連鎖実行 |
| poc-validator | 非破壊的なPoCスクリプト生成・実行 | 偽陽性排除 |
| bizlogic-hunter | 価格操作・レースコンディション等のロジック試験 | ビジネスロジック欠陥検証 |
Tier 2エージェントには「スコープ外を絶対にテストしない」というハード制約が組み込まれている。_scope-guard.md という共有ガードファイルが全Tier 2エージェントに参照され、宣言したスコープ・時間枠・除外資産に違反する操作をハードリフューズする。
v3.2では、このスコープガードにボリュメトリックDoS、インターネット全域へのマススキャン、無人稼働ワーム、エンゲージメント終了後も残る永続的バックドア、フォールスフラグ作戦、生命維持系システムへの攻撃などの明示的拒否リストが追加された。エージェントの「やってはいけない」境界を、モデルの判断ではなくテキストで明文化する設計だ。
Tier 2は「Claude Codeが直接コマンドを叩く」モードであり、誤った設定で本番環境に向けて起動すると重大な事故につながる。実利用前にDISCLAIMER.md・docs/TIER2-EXECUTION.mdの安全モデルを必ず確認し、隔離環境での挙動検証をおすすめする。
4. v3.2の4新エージェント|C2運用・コンテナ脱出・LLMレッドチーミング・OpSec
2026年5月3日公開のv3.2.0で追加された4エージェントは、近年の攻撃面トレンドを反映している。とくにLLMレッドチーミング対応は、AIエージェントが攻撃対象になる時代を見据えたものだ。
4.1 c2-operator|Sliver/Mythic/Havoc/Cobalt Strike運用
C2フレームワークの設定知識を集約したエージェント。Sliver、Mythic、Havoc、Cobalt Strikeのリスナー設定、ビーコンのSleep/Jitter/稼働時間ハイジーン、リダイレクタとCDNフロンティング、エンゲージメント終了時のバーンチェックリストまでカバーする。
C2運用は「実行している間ずっと検知されないか」のチューニングが本質だ。c2-operatorはMalleable C2プロファイルの作り方や、ビーコン挙動を環境ノイズに紛れ込ませる手法を返す。
4.2 container-breakout|Docker/K8sエスケープ
コンテナ脱出の技術スタックを束ねる。Linuxケーパビリティ悪用、マウント済みソケット経由のエスケープ、runc/cri-oのCVE、kubelet API攻撃、RBAC濫用、Admission Controllerバイパスまでを知識化している。
クラウドネイティブ環境のペンテストで頻出するシナリオを、明文化された方法論として提示する。cloud-security エージェントと組み合わせて、IAM昇格 → コンテナ侵入 → ホストエスケープという連鎖を扱える。
4.3 opsec-anonymizer|オペレーター側の身元衛生
これは攻撃側ではなくオペレーター側の安全装置だ。ソースIP戦略、VPSプロバイダ選定、バーナーメール/音声/決済、ブラウザ/JA3指紋衛生、エンゲージメント終了時のバーンチェックリストを扱う。
レッドチーム業務では、テスト中にオペレーター側のIPやアカウントが標的側に把握されると次回以降の作戦が破綻する。opsec-anonymizerは、操作の痕跡を最小化する手順を体系化している。
4.4 llm-redteam|OWASP LLM Top 10対応
AIエージェント自体を攻撃対象にする領域だ。OWASP LLM Top 10マッピング、直接/間接プロンプトインジェクション、RAG汚染、エージェントツール濫用、MCPサーバー悪用、出力ハンドリング脆弱性を扱う。
LLMアプリケーションの脆弱性検証は、従来のWebペンテスト手法だけではカバーできない領域だ。Garak、PyRIT、PromptfooといったOSSテストツールとの併用を前提に、テスト計画を組み立てる支援を行う。
自律型AIペンテスト製品全体の評価基準は OWASP APTS|AIエージェント時代の自律型ペネトレーションテスト基準を読む で詳説しています。
5. インストールと使い方|Claude Code環境への統合手順
導入はシェルワンライナーで完結する。リポジトリを一時ディレクトリにclone、エージェントを ~/.claude/agents/ にコピー、削除——という流れだ。
curl -fsSL https://raw.githubusercontent.com/0xSteph/pentest-ai-agents/main/install.sh | bash
ワンライナーに抵抗があれば、cloneしてから手動で実行できる。
git clone https://github.com/0xSteph/pentest-ai-agents.git
cd pentest-ai-agents && ./install.sh --global
主なインストールオプションは次のとおりだ。--project でカレントプロジェクトだけに導入、--lite でアドバイザリ系エージェントをHaikuに振ってトークンコストを抑える、--tools で実ツール本体までインストールする、といった選択肢がある。
導入後はClaude Codeを開いて自然文で指示するだけで、適切なエージェントへ自動ルーティングされる。/recommend "phish a small SaaS team's IT department" のようなスラッシュコマンドで明示的にエージェント推薦を求めることもできる。
インストール後に
bash db/doctor.sh を走らせると、各エージェントが前提とする実ツールの導入状況を ✔/✘ で出力する。エージェント別、JSON出力、特定エージェントのみといったフィルタも可能で、現場のセットアップ抜けを潰すのに便利な仕組みだ。
6. Findings DBとセッション継続|認可ペネトレーションテストの記録基盤
ペンテストの現場では、複数日にわたる作業のうち何を発見し、どこまでテストが進んだかを記録する手段が必要だ。pentest-ai-agentsはこの課題に対し、SQLiteベースのFindings DBを提供する。
findings.sh init acme-2024 --client "ACME Corp" --type internal --scope "10.0.0.0/24"
export PENTEST_AI_ENGAGEMENT="acme-2024"
findings.sh stats # 進捗確認
findings.sh list vulns # 検出結果一覧
findings.sh export # JSON全量エクスポート
bash handoff.sh # 次セッション向けMarkdownハンドオフ
Tier 2エージェントは findings.sh がPATH上に存在すれば、検出した脆弱性を自動的にDBへ書き込む。v3.2ではスキーマがv2に更新され、vulns.tool_used カラムが追加されて「どのツールで検出したか」によるフィルタが可能になった。
bash handoff.sh は次回セッション開始時に貼り付ける用のMarkdownレポートを生成する。Claude Codeのコンテキストウィンドウは有限なので、長期にわたるエンゲージメントではこのハンドオフ機構が事実上の必需品となる。
Claude Code側のフックやスキル機構と組み合わせれば、セッション開始時に自動でハンドオフを読み込ませることもできる。CLAUDE.mdに bash handoff.sh の出力を取り込む仕掛けを書いておけば、新セッションがコンテキストフレッシュな状態で再開できる。
7. 類似プロジェクトとの位置づけ|攻撃支援AIエージェントの現状
攻撃側支援を謳うAIプロジェクトは複数あるが、それぞれアプローチが異なる。pentest-ai-agentsはサブエージェント機構を活用した「方法論ライブラリ」の位置にいる。
| プロジェクト | アプローチ | 実行モード | 対象範囲 |
|---|---|---|---|
| pentest-ai-agents | Claude Codeサブエージェント集 | Tier 1助言中心+Tier 2実行 | 偵察〜報告までフルパス |
| pentest-ai(MCP) | MCPサーバー+150+ツールラッパー | 自律実行+CI/CD連携 | エクスプロイト自動連鎖まで |
| Xbow / Horizon3.ai | クローズドSaaS | 自律実行(プラットフォーム内) | プロダクション向けバグハント |
| BurpSuite AI / Caido AI | プロダクト統合AI | 拡張機能としての助言 | Webアプリ攻撃面に特化 |
pentest-ai-agentsの強みは「Claude Codeさえあれば動く」という導入の軽さと、サブエージェント単位での透明性だ。各エージェントは数百行のMarkdownなので、何を知識として持ち何を返すかをそのまま読める。
弱みは「実コマンドの完全自動連鎖は意図的に避けている」点だ。AIに任せてホップさせるタイプの自律性を求めるなら、同作者のpentest-ai(MCPサーバー版)や、商用プラットフォームの方が向いている。
AIエージェント機構の比較全般は AIエージェント フレームワーク 比較2026:選定基準とユースケース を参照してください。
8. 注意点と限界|認可境界・モデル依存・誤検知のリスク
このプロジェクトは強力だが、利用側が前提を理解せずに使うと事故になる。冷静に整理しておきたい。
第一に認可境界の遵守だ。プロジェクトはDISCLAIMER.mdとREADMEで、認可された業務以外への利用を明確に禁じている。署名済みのRules of Engagementがない状態でTier 2モードを起動するのは、それ自体が攻撃行為になり得る。
第二にモデルへの依存だ。エージェントの挙動はClaude本体の判断力に大きく左右される。スコープガードはテキストで明文化されているが、最終的に「ガードを読んで従う」のはClaudeだ。プロンプトインジェクション混入時の挙動など、モデル側の制約を理解しておく必要がある。
第三に誤検知と過剰自信だ。AIアシスタントが「この箇所は脆弱と思われます」と提示しても、PoC実行までの責任はユーザー側にある。poc-validator のような検証エージェントを噛ませる設計はあるが、誤検知ゼロにはならない。
DISCLAIMER.md、docs/TIER2-EXECUTION.md、_scope-guard.mdの3点を必読としたい。スコープガードのテキストを実機で破ろうとする赤チーム的検証(プロンプトインジェクション攻撃)を、隔離環境で事前にやっておくと安全度が増す。
第四にサプライチェーン信頼だ。ワンライナーで ~/.claude/agents/ にファイルを設置する以上、リポジトリのコミット履歴を確認し、リリースタグでピン留めする運用が望ましい。インストール時に --global を付ければユーザー全体に効くため、影響範囲は大きい。
直近のnpmワーム事案を踏まえても、第三者OSSをCI/開発者環境にインジェストする際の最低限の作法は変わらない。コミット監視、固定タグ運用、隔離環境での挙動確認の三点はセットで考えたい。
npm/OSSサプライチェーン攻撃の最新動向は サプライチェーンセキュリティ完全ガイド2026:依存関係管理から検知まで と TanStack公式@tanstack/*マルウェア混入|Mini Shai-Hulud npmワーム緊急速報 を併読してください。
9. まとめ|AIエージェント時代の攻撃セキュリティ研究基盤
- ・pentest-ai-agentsはClaude Code用の35サブエージェント集で、認可ペネトレーションテストの偵察〜報告までを領域別にカバーする。
- ・Tier 1助言とTier 2実行を分離し、Tier 2には承認ゲートとハードリフューズのスコープガードが組み込まれている。
- ・v3.2でC2運用・コンテナ脱出・LLMレッドチーミング・OpSecの4エージェントが追加され、近年の攻撃面トレンドに追随している。
- ・利用にあたっては認可境界・モデル依存・誤検知・サプライチェーン信頼の4点を前提として理解する必要がある。
AIエージェントをセキュリティ研究の補助線として使う動きは、防御側でも攻撃側でも今後増える。pentest-ai-agentsは「攻撃側AIアシスタント」の参照アーキテクチャとして、エージェント分割・実行モード分離・スコープガード設計といった工夫を読むに値する事例だ。
導入は軽く、コードは透明で、ライセンスはMITだ。仕事で扱う必要がある人はもちろん、AIエージェントの安全境界設計を考えたい人にも一読の価値がある。書面承認と隔離環境という前提さえ守れば、得るものは大きいプロジェクトだろう。
