← 所有精選

GitHub Trending 精選

每日一個爆紅開源專案

日榜 #22026-07-02

usestrix/strix

Open-source AI penetration testing tool to find and fix your app’s vulnerabilities.

★ 29.7k stars · ▲ +1,211 今日 · 🔶 Python · 📜 Apache-2.0 · 官網在 GitHub 開啟 ↗
agentsai-hackingai-penetration-testingai-pentestingai-securityartificial-intelligencebug-bountycode-qualityctf-toolscybersecuritycybersecurity-toolsethical-hacking
ℹ️ 今日 trending #1 是 msitarzewski/agency-agents(已於 2026-06-30 推過),故改推第 2 名。

這是什麼

Strix 是一套開源的 AI 滲透測試工具,主打讓自主 AI agent 像真實駭客一樣對應用程式做偵察、利用與驗證。它不是只做靜態掃描後列出可疑項目,而是強調會動態執行目標、產生可重現的 PoC,並把發現轉成開發者可處理的修復建議。README 將它定位給開發團隊與安全團隊:想要比傳統掃描器更少誤報、比人工滲測更快取得結果時,可以用 CLI、平台或 CI/CD 流程把測試接進日常開發。其核心架構是 多代理協作:不同 agent 負責 recon、exploitation、post-exploitation,並共享發現來串聯漏洞。

為什麼上榜

這個專案今天以 29,661 stars、單日新增 1,211 stars 登上日榜,熱點很明確:AI agent 正從「寫程式助手」延伸到更高風險、也更高價值的安全工作流。Strix 的吸引力在於它把 pentest 拆成開發者熟悉的自動化流程:本地掃描、GitHub repo review、黑箱網站測試、PR diff 範圍檢查、GitHub Actions 阻擋不安全程式碼。差異點不只是「AI 幫你看漏洞」,而是 README 反覆強調 validated findings with PoCs:每個漏洞要有可工作的 proof-of-concept 與重現步驟。這也帶來爭點:工具很強,但它明確提醒只能測試自己擁有或獲授權的應用,安全與法律邊界必須先設定清楚。

適合誰,可以拿來做什麼

Strix 適合需要把安全測試前移的 DevSecOps 團隊、做應用安全的工程師、bug bounty 研究者,以及想快速取得滲測報告的產品團隊。README 列出的使用情境包含 application security testing、快速滲透測試、bug bounty automation 與 CI/CD integration。若你維護的是 Web app、API、GitHub repository 或需要驗證 PR 變更的服務,它可以拿來掃本地程式碼、公開 repo、已部署網站,也能用 instruction 指定測試重點,例如認證流程、商業邏輯、IDOR 或特定 scope。上手門檻主要是要有 Docker 與支援供應商的 LLM API key;若要在 CI 裡使用,還需要把模型與 API key 放進 secrets。

上手

README 提供了明確的 quick start。先確認 Docker 正在執行,並準備 OpenAI、Anthropic、Google 等支援供應商的 LLM API key;第一次執行會自動拉取 sandbox Docker image,結果會存在 strix_runs/<run-name>

# Install Strix
curl -sSL https://strix.ai/install | bash

# Configure your AI provider
export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="***"

# Run your first security assessment
strix --target ./app-directory

常見目標可以是本地資料夾、GitHub repo 或網站 URL;若要在伺服器或自動化環境中跑,可使用 -n/--non-interactive,CLI 會輸出即時發現與最終報告,發現漏洞時會以非零 exit code 結束。

README 重點摘要