KittySploit es una plataforma modular de pruebas de seguridad que combina un framework en Python, una interfaz web, un proxy de análisis de tráfico y funciones asistidas por IA. Está diseñada para equipos red team profesionales, testers de penetración autorizados, investigadores de seguridad y equipos DevSecOps. No es un asistente de IA de propósito general ni un sistema automático de defensa corporativa: KittySploit puede ayudar a organizar una evaluación técnica, pero no sustituye la experiencia, la verificación de resultados ni el permiso del propietario del sistema.
El proyecto lo mantienen el KittySploit Team y SIA-IOTechnology. El código principal está disponible en el repositorio oficial de GitHub, mientras que las funciones alojadas y los planes comerciales se describen en el sitio web de KittySploit.
El framework y KittyProxy bajo una misma interfaz
El producto se construye en torno a un framework extensible con módulos para reconocimiento, validación de problemas de seguridad conocidos y trabajo realizado después de haber obtenido acceso autorizado. Los usuarios pueden manejarlo mediante una línea de comandos o una interfaz web, instalar módulos adicionales desde su marketplace y montar un flujo de trabajo para una evaluación concreta.
KittyProxy intercepta tráfico HTTP y HTTPS, permite inspeccionar y repetir solicitudes, y ayuda a identificar interfaces REST, GraphQL y WebSocket. El proveedor anuncia análisis de solicitudes asistido por IA en la edición comercial. KittyCollab ofrece espacios de trabajo compartidos, mientras que el grafo OSINT ayuda a los equipos a conectar entidades descubiertas y resultados de reconocimiento.
Un agente de IA local mediante Ollama
KittySploit también incluye un agente de IA que puede trabajar con modelos locales mediante Ollama y ayudar en la planificación de la investigación. Sin embargo, la IA es solo un componente de la plataforma. El agente no puede garantizar que una conclusión sea correcta, ni convierte una prueba de penetración compleja en una tarea totalmente autónoma. La guía de AIDive sobre agentes de IA explica en qué se diferencian estos sistemas de los chatbots ordinarios al planificar y ejecutar secuencias de acciones.
Community, Pro y el precio de colaborar
A fecha de 13.07.2026, la edición Community es gratuita. Incluye el framework autoalojado, KittyProxy Community, descargas del marketplace y ningún límite declarado en el número de objetivos autorizados.
El plan Pro cuesta €39.99 al mes y admite hasta dos usuarios. Añade KittyCollab, KittyProxy Pro, funciones alojadas y soporte adicional. El despliegue Enterprise y sus precios están disponibles mediante acuerdo.
El autoalojamiento requiere Python, dependencias del sistema y conocimientos prácticos de redes y seguridad. Algunas herramientas relacionadas con payloads usan Zig, lo que hace que la configuración y el mantenimiento sean más técnicos que registrarse en un producto SaaS convencional.
La autorización marca el límite
KittySploit es un producto de doble uso. Las mismas capacidades pueden servir para una auditoría de seguridad legítima o para un ataque no autorizado. Solo debe utilizarse contra sistemas propiedad del operador o contra objetivos para los que se haya concedido permiso explícito de pruebas. Las afirmaciones del proveedor sobre el bypass de WAF, EDR y otras defensas no deben presentarse como resultados de pruebas independientes.
Estado beta, licencia y barrera de entrada
El proyecto está marcado como beta, y los números de versión que aparecen en distintas fuentes de metadatos no siempre coinciden. Su licencia también requiere aclaración: el README y la LICENSE describen el framework abierto como licenciado bajo MIT, mientras que el pyproject.toml actual indica Proprietary. Las organizaciones deberían confirmar qué términos se aplican a cada componente antes de adoptarlo.
KittySploit resulta más relevante para equipos de seguridad experimentados que buscan un entorno extensible para evaluaciones autorizadas. Los principiantes sin un laboratorio controlado, reglas de acceso y supervisión experta deberían empezar con plataformas de formación específicas en lugar de probar el framework en sistemas públicos.

