本周 GitHub 热门:AI 帮你搞渗透测试,10 块钱开发板跑大模型
本周逛了逛 GitHub,发现了 5 个让我眼前一亮的开源项目——有登上 GitHub 趋势榜第一名的 AI 安全工具,有 Apple 官方开源的 Mac 容器神器,还有用 10 块钱开发板就能跑 10 亿参数大模型的黑科技。赶紧来瞧瞧!
本周逛了逛 GitHub,发现了 5 个让我眼前一亮的开源项目——有登上 GitHub 趋势榜第一名的 AI 安全工具,有 Apple 官方开源的 Mac 容器神器,还有用 10 块钱开发板就能跑 10 亿参数大模型的黑科技。赶紧来瞧瞧!
01 PentAGI
PentAGI — AI 帮你做渗透测试,登上 GitHub 趋势榜第一
搞安全的朋友有福了。这周 GitHub 趋势榜冠军被一个叫 PentAGI 的项目拿下,单日新增 1300+ Star,总计已超 6000+ Star。
PentAGI 是什么?简单说,就是一个完全自主的 AI 渗透测试 Agent 系统。你只需要告诉它目标,它会自己搞定剩下的一切——侦察、漏洞利用、写 Exploit 脚本,全套流程一条龙。
它内置了一套多智能体架构:
- 🔍 情报员(Researcher Agent):负责信息收集、开源情报分析
- 💻 程序员(Coder Agent):根据实时情况生成和调整攻击脚本
- 🏗️ 基建员(Infrastructure Agent):管理整个测试环境
这三个 Agent 互相协作、共享上下文,还会把知识积累到**知识图谱(基于 Neo4j)**里,下次测试可以复用之前的经验——贼智能。
更香的是,它集成了 20+ 专业安全工具,包括 nmap、Metasploit、sqlmap 等你能叫得上名的主流工具。所有操作都运行在 Docker 沙箱里,不用担心误操作搞坏自己的机器。
支持 OpenAI、Claude、Gemini、DeepSeek,也可以用 Ollama 跑本地模型,隐私敏感环境也能用。
当然,作者也老实说了:它替不了有经验的渗透测试工程师,更适合处理那些繁琐的初期侦察工作,让安全团队从重复性劳动中解放出来。
核心功能:
- 多 Agent 协作自主完成渗透测试流程
- 内置 20+ 安全工具(nmap、Metasploit、sqlmap 等)
- Docker 沙箱隔离,安全执行
- 知识图谱记忆,积累测试经验
- 支持多款主流 LLM
适合谁用:
- 安全研究人员、渗透测试工程师
- 希望自动化安全测试流程的团队
- CTF 爱好者(学习用途)
02 apple/container
apple/container — Apple 官方开源!Mac 原生跑 Linux 容器
用 Mac 的开发者有福了,Apple 最近官方开源了一个叫 container 的工具,已斩获 14,000+ Star,本周持续在 GitHub 热榜上活跃。
这个工具的功能一句话说清楚:在 Mac 上创建和运行 Linux 容器。
跟 Docker Desktop 不一样,apple/container 用的是轻量级虚拟机而非传统的容器引擎。它用 Swift 写成,专门为 Apple Silicon 优化,在 M 系列芯片上跑起来飞快。
启动一个 Ubuntu 容器就这么简单:
container run --name my-ubuntu ubuntu:latest /bin/bash开箱即用,不需要额外配置守护进程,也不需要 Docker Desktop 那样的图形界面。对于只是想在 Mac 上跑个 Linux 环境的开发者来说,简直不要太香。
当然,它目前还在早期阶段,功能没有 Docker 那么全面,但作为苹果亲儿子级别的开源项目,未来潜力巨大。随着 macOS 26 新的虚拟化特性支持,体验只会越来越好。
核心功能:
- 在 Mac 上原生创建和运行 Linux 容器
- 基于轻量级虚拟机,性能优秀
- Swift 编写,专为 Apple Silicon 优化
- 开箱即用,零配置启动
- 支持标准 OCI 容器镜像格式
适合谁用:
- Mac 开发者(尤其是 Apple Silicon 用户)
- 需要 Linux 开发环境的后端工程师
- 想摆脱 Docker Desktop 重量级体验的用户
03 picolm
picolm — 用 10 块钱开发板跑 10 亿参数大模型,真的不是标题党
这个项目看到标题我就惊了:在 10 美元的嵌入式开发板上运行 10 亿参数大模型?!
是真的。picolm 是一个用纯 C11 写的极简 LLM 推理引擎,整个项目只有约 2500 行代码,能在内存只有 256MB 的 Raspberry Pi Zero 2W(约 15 美元)上跑 TinyLlama 1.1B 模型。
它能做到这件"不可能的事",靠的是几个绝活:
1. 内存映射(mmap):模型文件不是加载进内存,而是直接映射,任何时刻只有约 30MB 的模型数据在物理内存里。
2. 4-bit 量化(Q4_K_M):把模型权重压缩到极致,在精度损失可接受的前提下大幅降低内存占用。
3. 零依赖:整个二进制文件只有 80KB,运行时只需要 45MB RAM,真正做到了"要啥自行车"的极简主义。
这意味着你手头那块吃灰的树莓派,现在可以跑一个能跟你聊天的 AI 了。虽然速度不快(嵌入式设备嘛,能跑就很牛了),但那种感觉——在 10 块钱的硬件上运行 AI——确实让人感叹技术进步之快。
对嵌入式开发者和 AI 研究者来说,这是一个非常值得学习的项目,代码量少、注释清晰,是了解 LLM 推理底层原理的好教材。
核心功能:
- 支持 GGUF 格式的 LLaMA 架构模型
- 内存映射技术,极低内存占用
- 4-bit 量化,在嵌入式设备上可运行
- ~2500 行 C11 代码,适合学习
- 支持 Linux/macOS/Windows
适合谁用:
- 嵌入式开发爱好者(树莓派玩家必看)
- 想深入了解 LLM 推理原理的开发者
- 对极简主义工程感兴趣的程序员
04 cloudflare/agents
cloudflare/agents — Cloudflare 官方出品 AI Agent SDK,部署简单到离谱
Cloudflare 一直在 AI 领域频繁出手,这次他们开源了 cloudflare/agents,一个专门用来构建和部署 AI Agent 的 SDK,已获得 4000+ Star。
它的核心优势是:把 Agent 的各种复杂能力打包好,让你专注于业务逻辑。
每个 Agent 实例都有自己的:
- 持久化状态:内置 SQL 数据库 + KV 存储,重启、部署、休眠都不丢数据
- 实时通信:通过 WebSocket 或 SSE 与客户端实时同步状态
- 任务调度:支持延迟执行、定时执行(cron)
- Tool 调用:服务端 Tool、客户端 Tool(在浏览器执行)、MCP 工具全支持
它内置了 AIChatAgent,提供开箱即用的流式 AI 聊天能力,配合 useAgentChat React Hook,几分钟就能搭一个聊天界面。支持 Workers AI、OpenAI、Anthropic、Gemini 等主流模型。
部署也是 Cloudflare 的老强项,用 Cloudflare Workers 全球分发,延迟低、扩展性强,不需要自己维护服务器。
不过有个小注意:目前 Cloudflare 暂不接受外部 PR,SDK 还在快速迭代中,API 可能随时变化。
核心功能:
- 内置持久化状态(SQL + KV)
- 实时 WebSocket/SSE 通信
- 任务调度(延迟、定时、cron)
- 支持多家 LLM 提供商
- MCP 工具集成支持
适合谁用:
- 想快速搭建 AI Agent 应用的开发者
- 已有 Cloudflare 生态的团队
- 需要全球部署、低延迟 AI 服务的场景
05 AstrBot
AstrBot — 一个框架接入所有 IM 平台,还能跑 AI 对话
最后这个是国内开发者会特别感兴趣的项目——AstrBot。
简单说,它是一个 Agentic IM 聊天机器人基础设施,帮你把 AI 能力接入各种主流 IM 平台。支持的平台包括:微信公众号、企业微信、钉钉、飞书、QQ、Telegram、Discord 等,基本上你能想到的主流 IM 都覆盖了。
你只需要配置好 API Key,就能让你的 AI 助手同时出现在多个平台上,统一管理。
它支持的 LLM 也很全面:OpenAI、Google Gemini、DeepSeek、ChatGLM、Llama,还能通过 Ollama 跑本地模型。
除了基础的 AI 对话,AstrBot 还有一些实用的 Agent 功能:
- 代码执行
- 联网搜索
- 自然语言 TODO 列表
安全方面也有考虑:限流、白名单、关键词过滤、百度内容审核,对于要在公开环境部署的场景很重要。
它的插件系统也很完善,社区有不少现成的插件可以直接用,比如连接知识库、接入各种 API 等。最近还被拿来跟 OpenClaw 对比,定位是国内场景下的 AI 助手基础框架。
核心功能:
- 接入微信、企业微信、钉钉、飞书、QQ、Telegram 等 IM 平台
- 支持 OpenAI、Gemini、DeepSeek、Llama、Ollama 等 LLM
- Agent 能力:联网搜索、代码执行
- 完善的安全管控(限流、白名单、内容审核)
- 插件生态丰富
适合谁用:
- 想在微信/钉钉/飞书部署 AI 助手的开发者
- 需要同时管理多个 IM 平台机器人的团队
- 企业内部 AI 工具搭建
总结
本周这 5 个项目,各有各的亮点:
- PentAGI:安全工程师的效率神器,AI 自动化渗透测试,本周热榜 No.1
- apple/container:Mac 用户的福音,苹果官方出品的轻量 Linux 容器工具
- picolm:极客必看!10 块钱开发板跑大模型,代码只有 2500 行的奇迹工程
- cloudflare/agents:快速搭建 AI Agent 应用,Cloudflare 一键全球部署
- AstrBot:国内 IM 场景首选,一个框架接入微信、钉钉、飞书、QQ
有需要的小伙伴赶紧去 Star ⭐ 收藏起来!