Přístupnostní navigace
E-application
Search Search Close
Bachelor's Thesis
Author of thesis: Daniel Linduška
Acad. year: 2025/2026
Supervisor: Ing. Willi Lazarov
Reviewer: doc. Ing. Zdeněk Martinásek, Ph.D.
This bachelor’s thesis explores the use of large language models to support and streamline the penetration testing process. The theoretical section summarizes the fundamentals of penetration testing and how language models work. The main objective of the practical section is to design and implement an expert AI assistant (PentestAssistant) intended for secure local deployment. The system integrates a vector database (ChromaDB) containing processed data from the OWASP ASVS and WSTG security methodologies. The thesis utilizes selected open-source models (Gemma3:4b, Llama3.1:8b, and Falcon3:7b) run locally via the Ollama platform. The resulting solution is developed in Python using the Flask framework based on a client-server architecture. It offers users both a responsive web interface and a remote command-line client interface communicating via a secure REST API, while a separate console application running directly on the server is available for local administration. The system also includes modules for account management, chat, and automated generation of PDF test reports. The practical value of the work is complemented by experimental testing on the OWASP BWA vulnerability platform, which was carried out under the direct and exclusive guidance of the proposed assistant.
large language models, ethical hacking, penetration testing, Retrieval-Augmented Generation, OWASP ASVS, OWASP WSTG, Ollama, ChromaDB, Flask, automation
Date of defence
16.06.2026
Result of the defence
Defended (thesis was successfully defended)
Grading
A
Process of defence
Student prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil bakalářskou práci a odpověděl na otázky členů komise a oponenta. Otázky: 1. Jaké jsou hlavní limity použití LLM v penetračním testování z hlediska bezpečnosti? 2. Proč nebyly testovány LLM modely s větším počtem parametrů např. 20b nebo 31b? 3. Máte v práci nějaká objektivní kritéria dle kterých jste modely hodnotil? 4. Co znamená spojení Mixture of Experts? 5. Řešil jste v práci, zda je jazykové modely vůbec právně možné použít k penetračnímu testování?
Language of thesis
Czech
Faculty
Fakulta elektrotechniky a komunikačních technologií
Department
Department of Telecommunications
Study programme
Information Security (BPC-IBE)
Composition of Committee
prof. Ing. Radim Burget, Ph.D. (předseda) doc. Ing. Lukáš Malina, Ph.D. (místopředseda) Mgr. Jakub Vostoupal, Ph.D. (člen) Ing. Martin Zukal, Ph.D. (člen) Ing. Martin Jonák, Ph.D. (člen) Ing. Michal Švento (člen) Ing. Willi Lazarov (člen)
Supervisor’s reportIng. Willi Lazarov
Grade proposed by supervisor: A
Reviewer’s reportdoc. Ing. Zdeněk Martinásek, Ph.D.
Grade proposed by reviewer: A
Responsibility: Mgr. et Mgr. Hana Odstrčilová