Penligent.ai: AI स्वचालित प्रवेश परीक्षण के लिए प्राकृतिक-भाषा ऑर्केस्ट्रेशन

ज़्यादातर टीमों को ज़्यादा स्कैनर्स की ज़रूरत नहीं होती। उन्हें एक ऐसा तरीका चाहिए जिससे उनके पास पहले से मौजूद स्कैनर, फ़ज़र्स, रिकोन यूटिलिटीज़, एक्सप्लॉइट किट, क्लाउड एनालाइज़र और ट्रैफ़िक रिकॉर्डर को एक समन्वित हमलावर की तरह काम करने दें—और उत्पादन करने के लिए साक्ष्य-समर्थित, मानकों के प्रति जागरूक हफ़्तों तक मैन्युअल ग्लूइंग के बिना आउटपुट। यही वह समस्या है जिसका समाधान Penligent.ai को करने के लिए डिज़ाइन किया गया है।

पेनलिजेंट का रुख सरल है: आप प्राकृतिक भाषा में बोलते हैं; सिस्टम 200 से अधिक उपकरणों को शुरू से अंत तक संचालित करता है; डिलीवरेबल साक्ष्य और नियंत्रण मैपिंग के साथ एक पुनरुत्पादनीय हमला श्रृंखला है. कोई CLI कोरियोग्राफी नहीं। कोई स्क्रीनशॉट स्कैवेंजर हंट नहीं। कोई हाथ से सिले हुए PDF नहीं।

ऑर्केस्ट्रेशन (न कि "एक और स्कैनर") pentestAI के लिए अगला कदम क्यों है

1. औजारों का फैलाव वास्तविक है। सुरक्षा टीमों के पास Nmap, ffuf, nuclei, Burp एक्सटेंशन, SQLMap, OSINT एन्यूमेरेटर्स, SAST/DAST, सीक्रेट डिटेक्टर, क्लाउड पोस्चर एनालाइज़र, कंटेनर/k8s बेसलाइन चेकर्स, CI/CD एक्सपोज़र स्कैनर होते हैं—यह सूची तिमाही दर तिमाही बढ़ती जाती है। बाधा उपकरण की क्षमता नहीं है; बल्कि समन्वय.
2. हमलावरों की श्रृंखला, स्कैनर सूची। एकल उपकरण समस्याओं की अलग-अलग रिपोर्ट करते हैं। नेतृत्व चाहता है कि कहानी: प्रवेश → धुरी → विस्फोट त्रिज्या सबूत के साथ। इंजीनियरिंग चाहती है कि पुनरुत्पादन: सटीक अनुरोध, टोकन, स्क्रीनशॉट और एक सुधार सूची। अनुपालन क्या चाहता है मानचित्रण: कौन सा नियंत्रण विफल हुआ (ISO 27001 / PCI DSS / NIST)।
3. एलएलएम सहायक ≠ स्वचालित निष्पादन। “pentestGPT” तर्क और लेखन को गति देता है, लेकिन अभी भी एक इंसान की जरूरत है उपकरण चुनने, कार्यक्षेत्र लागू करने, सत्रों का प्रबंधन करने और विश्वसनीय आर्टिफैक्ट बनाने के लिए।

पेनलिजेंट की थीसिस: pentestAI को प्राथमिकता देनी चाहिए योजना, निष्पादन, साक्ष्य प्रबंधन और रिपोर्टिंग-सभी प्राकृतिक भाषा द्वारा संचालित - इसलिए आउटपुट इंजीनियरिंग और ऑडिट द्वारा विश्वसनीय है, न कि केवल शोधकर्ताओं के लिए दिलचस्प है।

ऑर्केस्ट्रेशन आर्किटेक्चर (यह वास्तव में कैसे काम करता है)

पेनलिजेंट को एक के रूप में सोचें चार-परत पाइपलाइन जो इरादे को हमले की कहानी में बदल देता है:

ए. आशय दुभाषिया

• सरल-अंग्रेजी लक्ष्यों (दायरा, बाधाएं, अनुपालन लक्ष्य) का विश्लेषण करता है।
• परीक्षण मोड (ब्लैक-बॉक्स, ग्रे-बॉक्स), प्रमाणीकरण संकेत, थ्रॉटलिंग, एमएफए बाधाएं निकालता है।
• एक संरचित योजना विनिर्देश के लिए सामान्यीकृत.

बी. योजनाकार

• योजना को हल करता है उपकरण अनुक्रम: पुनर्संयोजन → प्राधिकरण/सत्र परीक्षण → शोषण प्रयास (नीति के भीतर) → पार्श्व जांच → साक्ष्य संग्रहण।
• प्रत्येक चरण के लिए एडाप्टर चुनता है (उदाहरण के लिए, एंडपॉइंट खोज के लिए ffuf, टेम्प्लेटेड जांच के लिए न्यूक्लिआई, इंजेक्शन सत्यापन के लिए SQLMap, टोकन पुनः उपयोग के लिए कस्टम रिप्लेयर)।
• बजट आवंटित करता है (समय, दर सीमा, समवर्तीता) और एकरूपता नियमों का पालन करें (ताकि पुनः प्रयास करने पर ऐप या दर सीमा प्रभावित न हो)।

सी. निष्पादक

• उपकरण चलाता है साझा संदर्भ के साथ (कुकीज़, टोकन, सत्र जीवनचक्र, खोजे गए हेडर)।
• का प्रबंध स्कोप गार्डरेल्स (होस्ट अनुमति सूची, पथ फ़िल्टर), सुरक्षा (थ्रॉटल, बैक-ऑफ), और लेखापरीक्षा (पूर्ण कमांड+पैरामीटर, टाइमस्टैम्प, निकास कोड).
• मानकीकृत प्रारूपों में कलाकृतियों को कैप्चर करता है।

डी. साक्ष्य और रिपोर्टिंग

• आउटपुट को सामान्यीकृत करता है एकीकृत स्कीमा; से संबंधित है एकल श्रृंखला.
• उत्सर्जित करता है इंजीनियरिंग-तैयार फिक्स सूची और अनुपालन मानचित्रण (एनआईएसटी/आईएसओ/पीसीआई), साथ ही एक कार्यकारी सारांश।

एक उच्च-स्तरीय योजना ऑब्जेक्ट इस प्रकार दिख सकता है:

योजना: उद्देश्य: "एडमिन/डीबग सतहों की गणना करें और सत्र निर्धारण/टोकन पुनः उपयोग (दायरे में) का परीक्षण करें।" दायरा: डोमेन: ["staging-api.example.com"] अनुमति सूची पथ: ["/admin", "/debug", "/api/*"] प्रतिबंध: दर सीमा आरपीएस: 3 सम्मान एमएफए: सत्य विनाशकारी क्रियाएँ नहीं: सत्य केपीआई: - "मान्य निष्कर्ष" - "पहली श्रृंखला तक का समय" - "पूर्णता प्रमाण" रिपोर्ट: नियंत्रण मानचित्रण: ["NIST_800-115", "ISO_27001", "PCI_DSS"] डिलिवरेबल्स: ["exec-summary.pdf", "fix-list.md", "controls.json"]

यह क्यों मायने रखता है: ज़्यादातर "एआई सुरक्षा" डेमो चतुराई से पेलोड बनाने पर ही रुक जाते हैं। हकीकत यह है कि सत्र स्थिति, थ्रॉटलिंग, पुनः प्रयास और ऑडिट ट्रेल्स. उबाऊ भागों को सही ढंग से प्रस्तुत करने से ऑर्केस्ट्रेशन की जीत होती है।

पुराना बनाम नया: एक ईमानदार तुलना

अनुरोध से रिपोर्ट तक: कंक्रीट कलाकृतियाँ

प्राकृतिक भाषा में → कार्य निर्माण

penligent task create \ --objective "staging-api.example.com पर उजागर एडमिन पैनल खोजें; सत्र निर्धारण/टोकन पुनः उपयोग (दायरे में) का परीक्षण करें; HTTP ट्रेस और स्क्रीनशॉट कैप्चर करें; NIST/ISO/PCI पर मैप करें; निष्पादन सारांश और सुधार सूची आउटपुट करें।"

स्थिति और रेलिंग

दंडनीय कार्य स्थिति --id # वर्तमान चरण, उपकरण, ETA, और सुरक्षा बाधाओं को दर्शाता है, पेनलिजेंट कार्य क्षेत्र --id # अनुमति सूची, दर सीमा, MFA सेटिंग, निषिद्ध नियम प्रिंट करता है

साक्ष्य और रिपोर्टिंग आउटपुट

दंडात्मक साक्ष्य प्राप्त करें --id --बंडल ज़िप

/evidence/http/ # स्वच्छीकृत अनुरोध/प्रतिक्रिया युग्म (JSONL) /evidence/screenshots/ # चरण-लेबल वाली छवियां (png) /evidence/tokens/ # जीवनचक्र + रीप्ले लॉग (txt/json) /report/exec-summary.pdf # व्यवसाय-संबंधी अवलोकन /report/fix-list.md # इंजीनियरिंग बैकलॉग (प्राथमिकता, स्वामी, चरण) /report/controls.json # NIST/ISO/PCI मैपिंग (मशीन-पठनीय)

सामान्यीकृत खोज (नमूना JSON)

{ "id": "PF-2025-00031", "title": "/admin/session पर टोकन का पुनः उपयोग स्वीकार किया गया", "severity": "उच्च", "chain_position": 2, "evidence": { "http_trace": "evidence/http/trace-002.jsonl", "screenshot": "evidence/screenshots/admin-session-accept.png", "token_log": "evidence/tokens/replay-02.json" }, "repro_steps": [ "टोकन T1 प्राप्त करें (उपयोगकर्ता A, टाइमस्टैम्प X)", "तैयार हेडर के साथ /admin/session के विरुद्ध T1 को पुनः चलाएँ", "200 से अधिक व्यवस्थापक कुकी जारीकरण देखें" ], "impact": "रीप्ले के साथ पहुँच योग्य विशेषाधिकार प्राप्त पैनल; संभावित पार्श्व डेटा पहुँच।", "controls": { "NIST_800_115": ["प्रमाणीकरण तंत्र का परीक्षण"], "ISO_27001": ["A.9.4 एक्सेस कंट्रोल"], "PCI_DSS": ["8.3 सशक्त क्रिप्टोग्राफी और प्रमाणीकरण"] }, "उपचार": { "स्वामी": "प्लेटफ़ॉर्म-प्रमाणीकरण", "प्राथमिकता": "P1", "क्रियाएँ": [ "टोकन को डिवाइस/सत्र संदर्भ से बाँधें", "नॉन/वन-टाइम टोकन रीप्ले सुरक्षा लागू करें", "IP/UA हेयुरिस्टिक्स के साथ सर्वर-साइड TTL जोड़ें" ], "सत्यापन": "रीप्ले प्रयास 401 लौटाना चाहिए; अद्यतित ट्रेस संलग्न करें।" } }

क्षमता डोमेन (सिस्टम वास्तव में क्या संचालित करता है)

वेब और एपीआई परिधि

• स्वचालित: व्यवस्थापक/डीबग पहचान, प्राधिकरण सीमा जांच, सत्र निर्धारण / टोकन पुन: उपयोग जाँच (दायरे में), फ़ज़िंग पहले के पुनर्निर्माण के लिए लक्षित।
• नतीजा: अनुरोध/प्रतिक्रिया प्रमाण, स्क्रीनशॉट, प्रभाव विवरण → सूची ठीक करें.

क्लाउड और कंटेनर

• स्वचालित: अल्पकालिक/“छाया” परिसंपत्ति खोज, गलत दायरे वाले IAM का पता लगाना, CI/CD रनर एक्सपोजर संकेत, बासी टोकन/कुंजी सिग्नलिंग।
• नतीजा: “प्रवेश → धुरी → प्रभाव" जंजीर-नहीं 80 पृथक “माध्यम”।

प्राधिकरण, सत्र और पहचान

• स्वचालित: टोकन जीवनचक्र विश्लेषण, पुन: उपयोग/निर्धारण, पथ-आधारित अलगाव जांच, मिश्रित-प्राधिकरण सतहें।
• नतीजा: कम शोर वाले निष्कर्षों के साथ सटीक पुनरुत्पादन और नियंत्रण मानचित्रण.

OSINT और एक्सपोज़र मैपिंग

• स्वचालित: उपडोमेन गणना, सेवा फिंगरप्रिंटिंग, तृतीय-पक्ष सतहें।
• नतीजा: टिकाऊ के साथ अधिकृत खोज ऑडिट ट्रैल्स.

साक्ष्य और रिपोर्टिंग

• स्वचालित: आर्टिफैक्ट कैप्चर → सामान्यीकरण → मानक मैपिंग → आर्टिफैक्ट्स के लिए सुरक्षा, इंजीनियरिंग, अनुपालन, नेतृत्व.

कार्यप्रणाली एंकर:
एनआईएसटी एसपी 800-115 - सूचना सुरक्षा परीक्षण और मूल्यांकन के लिए तकनीकी मार्गदर्शिका
OWASP WSTG / PTES - चरण-आधारित पेनटेस्ट संरचना और शब्दावली

"एआई भाग" जो वास्तव में मदद करता है (पेलोड से परे)

• इरादा ग्राउंडिंग: अस्पष्ट निर्देशों का अनुवाद करता है दायरे में, परीक्षण योग्य कदम (उदाहरण के लिए, "3 आरपीएस से अधिक न करें," "कोई विनाशकारी क्रिया नहीं," "एमएफए का सम्मान करें")।
• अनुकूली अनुक्रमण: मध्यवर्ती परिणामों के आधार पर उपकरणों को स्विच करता है (उदाहरण के लिए, यदि कोई एडमिन हेडर नहीं मिलता है, तो वैकल्पिक फुटप्रिंट्स पर जाएं; यदि टोकन रीप्ले विफल हो जाता है, तो परीक्षण निर्धारण करें)।
• साक्ष्य पूर्णता: निष्पादक को लापता कलाकृतियों को पुनः प्राप्त करने के लिए प्रेरित करता है गुणवत्ता फ़्लोर की रिपोर्ट करें (स्क्रीनशॉट + ट्रेस + टोकन लॉग).
• नियंत्रण भाषा निर्माण: कच्ची कलाकृतियों को रूपांतरित करता है एनआईएसटी/आईएसओ/पीसीआई तकनीकी परिशुद्धता खोए बिना फॉर्म भरना।

यहीं पर कई "एआई पेनटेस्ट" विचार असफल हो जाते हैं: वे चतुराईपूर्ण पाठ उत्पन्न करते हैं, लेकिन न्यूनतम साक्ष्य मानक लागू न करें. पेनलिजेंट "आखिरी मील" को कठोर बनाता है साक्ष्य को प्रथम श्रेणी का अनुबंध बनाना.

महत्वपूर्ण KPI

यथार्थवादी परिदृश्य

1. सार्वजनिक व्यवस्थापक पैनल बहाव स्टेजिंग पर: रीप्ले/फिक्सेशन साबित करें, ट्रेस संलग्न करें, नियंत्रणों को मैप करें, और स्पष्ट "पूर्ण" मानदंडों के साथ P1 कार्य भेजें।
2. सीआई/सीडी एक्सपोजर: अनुज्ञेय स्कोप के साथ रनर्स की खोज करना; गुप्त पहुंच के लिए श्रृंखला बनाना; स्कोपिंग और साक्ष्य टीटीएल जांच की सलाह देना।
3. क्लाउड “छाया” परिसंपत्ति: एक भूली हुई डिबग सेवा; प्रविष्टि दिखाएँ → IAM पिवट; विस्फोट त्रिज्या की मात्रा निर्धारित करें।
4. AI सहायक सतह: स्वीकृत दायरे के भीतर त्वरित-इंजेक्शन-संचालित निष्कासन या बलपूर्वक की गई कार्रवाइयों को मान्य करना; कलाकृतियों को रिकॉर्ड करना और प्रभावों को नियंत्रित करना।

एकीकरण पैटर्न (बिना किसी हाथ से सब कुछ वायरिंग किए)

पेनलिजेंट औजारों को इस प्रकार मानता है एडेप्टर मानकीकृत I/O के साथ:

एडाप्टर: - आईडी: "nmap.tcp" इनपुट: { होस्ट: "staging-api.example.com", पोर्ट: "1-1024" } आउटपुट: { सेवाएं: ["http/443", "ssh/22", "..."] } - आईडी: "ffuf.enum" इनपुट: { बेस_यूआरएल: "https://staging-api.example.com", वर्डलिस्ट: "common-admin.txt" } आउटपुट: { पथ: ["/admin", "/console", "/debug"] } - आईडी: "nuclei.http" इनपुट: { लक्ष्य: ["https://staging-api.example.com/admin"], टेम्पलेट्स: ["misconfig/*","auth/*"] } आउटपुट: { निष्कर्ष: [...] } - आईडी: "sqlmap.verify" इनपुट: { यूआरएल: "https://staging-api.example.com/api/search?q=*", तकनीक: "समय-आधारित" } आउटपुट: { सत्यापित: सत्य, ट्रेस: "evidence/http/sqlmap-01.jsonl" } - id: "token.replay" इनपुट: { टोकन: "T1", समापन बिंदु: "/admin/session" } आउटपुट: { स्थिति: 200, जारी_व्यवस्थापक_कुकी: सत्य, स्क्रीनशॉट: "..." }

कोई ऑपरेटर स्क्रिप्टिंग नहीं. योजनाकार एडाप्टर्स की रचना करता है; निष्पादक उनके बीच संदर्भ (हेडर, कुकीज़, टोकन) साझा करता है; साक्ष्य स्वचालित रूप से कैप्चर किया जाता है।

सीमाएँ और ज़िम्मेदार उपयोग (कैंडिड रियलिटी)

• मानव रेड-टीम प्रतिस्थापन नहीं। सामाजिक, भौतिक, अत्यधिक नवीन श्रृंखलाएं अभी भी विशेषज्ञ रचनात्मकता से लाभान्वित होती हैं।
• दायरा स्पष्ट होना चाहिए. सिस्टम अनुमति सूची और प्रतिबंधों को लागू करेगा; टीमों को उन्हें सही ढंग से परिभाषित करना होगा।
• सबूत ही राजा है. यदि कोई एकीकरण उच्च-गुणवत्ता वाली कलाकृतियाँ उत्पन्न नहीं कर सकता है, तो योजनाकार को किसी अन्य एडाप्टर पर वापस जाना चाहिए या चरण को "गैर-पुष्टिकरण" के रूप में चिह्नित करना चाहिए।
• मानक मानचित्रण ≠ कानूनी सलाह। एनआईएसटी/आईएसओ/पीसीआई मैपिंग ऑडिट वार्तालापों में सहायता करती है; कार्यक्रम के मालिक व्याख्या और सत्यापन की जिम्मेदारी बरकरार रखते हैं।
• थ्रूपुट सतह के अनुसार भिन्न होता है। भारी प्राधिकरण/बहु-किरायेदार प्रवाह के लिए लंबे समय तक चलने की आवश्यकता होती है; दर सीमाएं और एमएफए सम्मान सुरक्षा और वैधता के लिए जानबूझकर किए गए समझौते हैं।

एक व्यावहारिक ऑपरेटर की चेकलिस्ट

1. उद्देश्य को स्पष्ट अंग्रेजी में बताएं। कार्यक्षेत्र, सुरक्षा और अनुपालन लक्ष्य शामिल करें।
2. कच्ची गिनती की अपेक्षा “चेन गुणवत्ता” को प्राथमिकता दें। एक एकल, अच्छी तरह से प्रमाणित श्रृंखला 30 सैद्धांतिक "माध्यमों" को मात देती है।
3. एडाप्टर्स को कम रखें। बहुत अधिक शोर करने वाले उपकरणों की अपेक्षा मजबूत कलाकृतियों वाले कम, अच्छी तरह से समझे जाने वाले उपकरणों को प्राथमिकता दें।
4. “संपन्न” को परिभाषित करें। प्रत्येक P1 के लिए, फिक्स के बाद अपेक्षित सत्यापन ट्रेस की पूर्व-घोषणा करें।
5. योजनाओं को पुनः चलाएं। डेल्टा की तुलना करें; पहले/बाद को नेतृत्व को सौंप दें - इस तरह आप जोखिम को नीचे की ओर बढ़ते हुए दिखाते हैं।

संदर्भ और आगे पढ़ने के लिए

• एनआईएसटी एसपी 800-115 – सूचना सुरक्षा परीक्षण और मूल्यांकन के लिए तकनीकी मार्गदर्शिका
  https://csrc.nist.gov/publications/detail/sp/800-115/final
• OWASP वेब सुरक्षा परीक्षण गाइड (WSTG)
  https://owasp.org/www-project-web-security-testing-guide/

निष्कर्ष

यदि आपकी वास्तविकता "दस महान उपकरण और शून्य समन्वित दबाव" है, pentestAI का मतलब ऑर्केस्ट्रेशन होना चाहिए:

• आप बोलिए।
• यह प्रणाली श्रृंखला चलाती है।
• हर किसी को वह सबूत मिल जाता है जिसकी उसे जरूरत होती है।

Penligent.ai का लक्ष्य सीधे तौर पर यही परिणाम प्राप्त करना है—प्राकृतिक भाषा अंदर, बहु-उपकरण हमला श्रृंखला बाहर—ऐसी कलाकृतियों के साथ जिन्हें आप इंजीनियरिंग, अनुपालन और नेतृत्व को बिना किसी अतिरिक्त अनुवाद के सौंप सकते हैं। कोई और स्कैनर नहीं। आपके पास पहले से मौजूद ऑर्केस्ट्रा के लिए एक कंडक्टर।