Деньги в теме есть: pentest, BAS и DAST рынки растут, а enterprise-покупатели уже платят за exploit validation, DAST, PTaaS и BAS.
ЗАХВАТ28
Ров слабый: Metasploit, Burp, Caido, Sliver, ZAP, mitmproxy и sqlmap уже заняли mindshare; MIT снижает lock-in, а trust ещё не доказан.
ДОСТУП52
MIT на GitHub разрешает коммерческое использование, SaaS и закрытые деривативы, но offensive tooling требует vetting, abuse controls, marketplace moderation и юридической чистоты.
«Заработать можно, но capture топит: доверие и дифференциация пока слабее incumbents.»
Рыночный анализ · Обзор
KittySploit — молодой Python-фреймворк для offensive security: эксплуатация, post-exploitation, proxy-interception, payloads, совместная работа и marketplace модулей в одном инструменте.
KittySploit объединяет CLI, web/proxy-анализ, exploit-модули, payload/session handling, совместную работу и marketplace расширений. Проект заявляет AI-assisted планирование атак через локальные LLM/Ollama, Zig payloads, KittyProxy, KittyCollab, OSINT и V8 debugging как части общей платформы. Цель — дать red-team/pentest-командам единый workflow вместо набора разрозненных инструментов.
Какую боль решает
Red-team и pentest-командам приходится собирать цепочку из Metasploit, Burp/Caido, OSINT-инструментов, C2/post-exploitation, скриптов и отчётов; KittySploit пытается дать единый рабочий стол.
Сценарии использования
+Ручной и полуавтоматический pentest web/API через KittyProxy.
Узкий автоматизированный SQLi exploitation/takeover; сильнее в нише SQLi.
Позиционирование
KittySploit не лидер; это догоняющий с нишевым positioning “modern open-core offensive platform with proxy + AI + collab + marketplace”. Преимущество не в глубине exploit-базы, а в упаковке и workflow.
Automated security validation для internal, external и cloud attack paths.
1,200+ enterprises и $100M+ ARR claimed.
Pentera Platformquote only
Текущая монетизация проекта
KittySploit уже монетизируется как open-core/SaaS: homepage показывает Community Free, Pro 39,99€/month, Enterprise Contact Us, Pro features для KittyProxy/KittyCollab и marketplace selling. README также ведёт на Liberapay donations.
Коммерческий потенциал
ПОТЕНЦИАЛ · СРЕДНИЙ
Да, но не как “новый Metasploit”. Реалистичная модель — дешёвый open-core workflow layer для indie pentesters и small security teams: proxy + collab + marketplace + reports + hosted workspace.
Спрос и рынок
Спрос высокий: penetration testing market оценён в $2.72B in 2026 → $5.54B by 2031, CAGR 15.29%; BAS — $1.18B in 2026 → $8.26B by 2034, CAGR 27.49%; DAST — $2.76B in 2025, CAGR 19.9%.
Ров / защищённость
Сейчас ров слабый. Потенциальный ров — curated marketplace, collaborative workflows, AI-assisted proxy и signed module ecosystem. Технический ров низкий: Python framework, proxy и LLM wrappers повторяемы.
Модели монетизации
+Pro SaaS: €39.99/month уже валидирует willingness-to-pay.
+Safe mode для production testing, throttling и kill switch.
+Качественные reports и Jira/GitHub/Slack integrations.
+Доказанная exploit/module база, кейсы и testimonials.
⚖ ЛИЦЕНЗИЯ · МОЖНО ЛИ КОММЕРЦИАЛИЗИРОВАТЬ
Базовый вердикт: MIT — коммерческое использование, SaaS, закрытые деривативы и перепродажа разрешены. Оговорка: pyproject.toml с Proprietary конфликтует с GitHub SPDX MIT/README; это medium-severity legal hygiene issue, перед коммерческим форком нужно проверить LICENSE file и PyPI metadata, затем открыть issue/PR на исправление.
Риски и подводные камни
ВЫСОКИЙЮР. СЕРАЯ ЗОНА
Offensive framework с payloads, backdoors и evasion claims требует usage controls, vetting, sanctions/export review и acceptable-use policy.
ВЫСОКИЙКОНКУРЕНЦИЯ
Metasploit, Burp, Caido, Sliver, ZAP и коммерческие платформы уже занимают mindshare и бюджеты.
ВЫСОКИЙПРОЧЕЕ
Trust-риск: red teams не ставят unknown framework в client engagements без reputation, docs, support и secure supply chain.
СРЕДНИЙПРОЧЕЕ
Молодой проект с 364 stars, broad roadmap и beta-классификацией может оказаться demo-platform вместо надёжного продукта.
СРЕДНИЙЛИЦЕНЗИЯ
GitHub SPDX MIT конфликтует с pyproject.toml, где указано Proprietary; перед продажами и redistribution нужно проверить LICENSE/PyPI metadata и исправить.
СРЕДНИЙЗАВИСИМОСТЬ ОТ АВТОРА
6 contributors, owner как User, verified=False; есть bus-factor и governance-риск.
СРЕДНИЙЮР. СЕРАЯ ЗОНА
Marketplace exploit modules создаёт liability: review, takedown, provenance, malware scanning и границы indemnity нужны до масштаба.
+Коммерческие цены и масштабы по ряду продуктов не подтверждены двумя независимыми источниками; часть данных взята с vendor pages или одного стороннего источника.
+Burp Suite price $475/user/year взят из G2, vendor HTML price не был подтверждён в собранных данных.
+XBOW pricing inconsistent: official launch post указывает starts at $4,000, другой official blog mentions $6,000.
+BreachLock scale 4,000+ tests взят из report/search-result контекста, не подтверждён двумя независимыми источниками в собранных данных.
+Pentera 1,200+ enterprises и $100M+ ARR — claimed vendor press release, не независимая верификация.
+Оценки stars OSS-аналогов зафиксированы из собранного анализа и могли измениться.
+Оценки maturity, moat, capture и trust являются аналитическим выводом на базе GitHub/README/рынка, а не измеренной метрикой.
+Homepage KittySploit pricing и open-core/SaaS monetization взяты как собранный факт, без дополнительной перепроверки.
+Лицензионный конфликт MIT vs Proprietary установлен по предоставленным GitHub SPDX/README/pyproject данным; фактический LICENSE file и PyPI metadata отдельно не проверялись.
+Функциональные claims KittySploit из README — AI, evasion, Zig payloads, marketplace, collab — не валидировались запуском кода или аудитом реализации.
SIA-IOTechnology/Kittysploit-framework собрал 102 звёзд за окно, тогда как у автора всего 22 подписчиков — эффективная аудитория ≈ 68. Это даёт surprise-индекс 0.95 (звёзды относительно охвата автора, а не в абсолюте). Удержание форков 0.0% и 0 внешних контрибьюторов отделяют реальный инструмент от разовой вспышки. Акселерация положительная — рост ещё не выдохся.