W czerwcu 2025 roku XBOW — firma założona przez twórcę GitHub Copilot, z zespołem oryginalnych inżynierów Copilot i 237 milionami dolarów finansowania — osiągnęła coś bezprecedensowego: ich autonomiczny agent wspiął się na pierwsze miejsce globalnego rankingu HackerOne, wyprzedzając tysiące ludzkich łowców błędów. Dopasował 40-godzinną ręczną ocenę penetracyjną doświadczonego testera w 28 minut. W marcu 2026 wycena XBOW przekroczyła miliard dolarów.
25 maja 2026 roku badacz H-mmer opublikował na GitHubie Pentest Agent Suite. Bezpłatny. Otwartoźródłowy. Uruchamia się przez claude /hunt tesla.com z poziomu terminala.
Nie twierdzę że Pentest Agent Suite i XBOW to to samo. Twierdzę że ta sama klasa zdolności — autonomiczny agent który systematycznie poluje na podatności w zdefiniowanym zakresie, korzysta z semantycznej bazy wiedzy z tysięcy raportów o błędach bezpieczeństwa, integruje się bezpośrednio z platformami HackerOne i Bugcrowd — jest teraz dostępna dla każdego kto ma klucz API i zainstalowanego Claude Code.
XBOW zajął dwa lata żeby stać się pierwszym komercyjnym przełomem. H-mmer wydał coś porównywalnego jako projekt weekendowy.
Co to faktycznie potrafi
Architektura Pentest Agent Suite jest trójwarstwowa.
Pierwsza warstwa to 50 wyspecjalizowanych agentów — każdy z własnym plikiem instrukcji który przed testem konkretnej klasy podatności czyta ponad 1200 raportów o błędach bezpieczeństwa z lat 2024-2026. Agent testujący SSRF nie działa "w ogólności" — działa z wiedzą o konkretnych przypadkach CVE-2026-30956 w OneUptime, błędach Apache Answer, Zitadel API. Agent testujący XSS czyta rodzinę błędów DOMPurify mXSS, Auth0 returnTo, Jupyter notebook XSS. To jest dokładnie ten mechanizm który opisywaliśmy przy raporcie GTIG — model czyta kontekst i generalizuje na podobne przypadki w testowanym kodzie.
Druga warstwa to dwuserwerowa infrastruktura MCP (protokół komunikacji między agentami). Jeden serwer integruje 16 platform do zgłaszania błędów bezpieczeństwa — HackerOne z pełnym API, Bugcrowd, Intigriti, Immunefi, YesWeHack. Drugi zarządza pamięcią agentów i modułem budowania łańcuchów eksploitacji. Agent wie co już znalazł, w jakim programie, na jakim zakresie.
Trzecia warstwa to 26 poleceń i 19 narzędzi wiersza poleceń zintegrowanych z siedmioma środowiskami deweloperskimi jednocześnie: Claude Code, OpenAI Codex, Google Gemini, Cursor, Windsurf, VS Code Copilot, OpenClaw. Skrypt konfiguracyjny (scaffold) instaluje się we wszystkich naraz — tworzy pliki instrukcji CLAUDE.md, AGENTS.md i katalogi konfiguracyjne dla każdego ze środowisk — i framework działa natychmiast w każdym z nich.
Połączenie którego nie można pominąć
Skrypt konfiguracyjny przy instalacji tworzy między innymi plik CLAUDE.md w katalogu projektu.
Wczoraj pisaliśmy że TrapDoor wstrzyknął złośliwe instrukcje do CLAUDE.md i .cursorrules jako mechanizm trwałego wstrzyknięcia instrukcji. Pliki konfiguracyjne asystentów AI do kodowania są jednocześnie: punktem wejścia dla narzędzi bezpieczeństwa i wektorem ataku dla kampanii w łańcuchu dostaw.
Ta sama warstwa pliku tekstowego. Dwie zupełnie różne intencje. Jeden mechanizm.
Granica której nie ma
Pwn2Own w połowie maja musiał odrzucić 150 badaczy — zbyt wielu chętnych, zbyt mało miejsc. Część opublikowała exploity samodzielnie. Opisywaliśmy to jako sygnał że badania wspomagane AI generują działające exploity szybciej niż instytucje zbudowane do ich obsługi mogą nadążyć.
Pentest Agent Suite jest kolejnym punktem danych w tym samym obrazie. Bariera wejścia do autonomicznego ofensywnego bezpieczeństwa wynosi teraz: klucz API do Claude Code, Python 3.10 i standardowe narzędzia rozpoznania sieciowego (nmap, httpx, subfinder, nuclei). Narzędzia które ma każdy badacz.
Serwis AppSecSanta dokumentuje że na początku 2026 roku nastąpiła eksplozja takich projektów — ponad 39 narzędzi AI do testów penetracyjnych, z których większość to warianty plików konfiguracyjnych dla Claude Code. Nowy wzorzec: nie własny silnik, tylko plik tekstowy który konfiguruje wbudowaną infrastrukturę agenta. Zerowy koszt inżynierski, pełne możliwości.
Przy analizie CNBC "hysteria czy diagnoza" Pavel Gurvich mówił o hierarchii organizacji które mają dostęp do modeli ofensywnych i tych które nie mają. Pentest Agent Suite jest argumentem że ta hierarchia znika szybciej niż ktokolwiek zakładał.
Gdzie jest granica
H-mmer licencjonuje projekt wyłącznie dla autoryzowanego testowania bezpieczeństwa pod odpowiedzialnym ujawnianiem. To jest właściwe podejście.
Jest tu jednak to samo napięcie które opisywaliśmy przy eksploicie Chrome za 2283 dolary z pomocą Opus 4.6: badacz działający legalnie i atakujący mają dostęp do tych samych narzędzi. Licencja odróżnia intencje, nie możliwości.
Dla organizacji z programem przyjmowania zgłoszeń błędów na HackerOne lub Bugcrowd: to jest narzędzie które w autoryzowanych rękach pozwoli znaleźć więcej podatności szybciej niż jakikolwiek ręczny proces. Dla organizacji bez takiego programu: to jest ilustracja klasy zdolności dostępnej publicznie, która nie wymaga ani miliardowego finansowania ani ekspertyzy ofensywnej na poziomie zawodowym.
Źródła
GitHub H-mmer/pentest-agents — pełna dokumentacja, pliki instrukcji i architektura: https://github.com/H-mmer/pentest-agents
CybersecurityNews — omówienie z detalami semantycznej bazy wiedzy i integracji platform: https://cybersecuritynews.com/pentest-agent-suite/
AppSecSanta Research — "AI Pentesting Agents 2026: 39+ Tools" z historią XBOW i mapą ekosystemu: https://appsecsanta.com/research/ai-pentesting-agents-2026
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł