usestrix/strix
Open-source AI penetration testing tool to find and fix your app’s vulnerabilities.
msitarzewski/agency-agents(已於 2026-06-30 推過),故改推第 2 名。這是什麼
Strix 是一套開源的 AI 滲透測試工具,主打讓自主 AI agent 像真實駭客一樣對應用程式做偵察、利用與驗證。它不是只做靜態掃描後列出可疑項目,而是強調會動態執行目標、產生可重現的 PoC,並把發現轉成開發者可處理的修復建議。README 將它定位給開發團隊與安全團隊:想要比傳統掃描器更少誤報、比人工滲測更快取得結果時,可以用 CLI、平台或 CI/CD 流程把測試接進日常開發。其核心架構是 多代理協作:不同 agent 負責 recon、exploitation、post-exploitation,並共享發現來串聯漏洞。
為什麼上榜
這個專案今天以 29,661 stars、單日新增 1,211 stars 登上日榜,熱點很明確:AI agent 正從「寫程式助手」延伸到更高風險、也更高價值的安全工作流。Strix 的吸引力在於它把 pentest 拆成開發者熟悉的自動化流程:本地掃描、GitHub repo review、黑箱網站測試、PR diff 範圍檢查、GitHub Actions 阻擋不安全程式碼。差異點不只是「AI 幫你看漏洞」,而是 README 反覆強調 validated findings with PoCs:每個漏洞要有可工作的 proof-of-concept 與重現步驟。這也帶來爭點:工具很強,但它明確提醒只能測試自己擁有或獲授權的應用,安全與法律邊界必須先設定清楚。
適合誰,可以拿來做什麼
Strix 適合需要把安全測試前移的 DevSecOps 團隊、做應用安全的工程師、bug bounty 研究者,以及想快速取得滲測報告的產品團隊。README 列出的使用情境包含 application security testing、快速滲透測試、bug bounty automation 與 CI/CD integration。若你維護的是 Web app、API、GitHub repository 或需要驗證 PR 變更的服務,它可以拿來掃本地程式碼、公開 repo、已部署網站,也能用 instruction 指定測試重點,例如認證流程、商業邏輯、IDOR 或特定 scope。上手門檻主要是要有 Docker 與支援供應商的 LLM API key;若要在 CI 裡使用,還需要把模型與 API key 放進 secrets。
上手
README 提供了明確的 quick start。先確認 Docker 正在執行,並準備 OpenAI、Anthropic、Google 等支援供應商的 LLM API key;第一次執行會自動拉取 sandbox Docker image,結果會存在 strix_runs/<run-name>。
# Install Strix
curl -sSL https://strix.ai/install | bash
# Configure your AI provider
export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="***"
# Run your first security assessment
strix --target ./app-directory
常見目標可以是本地資料夾、GitHub repo 或網站 URL;若要在伺服器或自動化環境中跑,可使用 -n/--non-interactive,CLI 會輸出即時發現與最終報告,發現漏洞時會以非零 exit code 結束。
README 重點摘要
- Strix 內建 offensive security toolkit,包含 HTTP interception proxy、瀏覽器測試、shell/command execution、Python exploit runtime、OSINT 與 SAST/DAST。
- 支援 OWASP Top 10 與更多類型:存取控制、各式 injection、SSRF/XXE/RCE、XSS/CSRF、商業邏輯、JWT/session、雲端與 API 安全問題。
- CI/CD 範例使用 GitHub Actions;PR quick scan 會盡量自動聚焦在變更檔案,必要時需設定完整 git history 或指定
--diff-base。 - 平台版提供 repo/domain 連接、one-click autofix、Slack/Jira/Linear 等整合;企業版則提到 SSO、合規報告、自架/VPC 與 BYOK。
- README 最後明確警告:只測試你擁有或取得授權的應用,使用者需自行負責合乎倫理與法律。