← 所有精選

GitHub Trending 精選

每日一個爆紅開源專案

週榜 #12026-07-06

usestrix/strix

Open-source AI penetration testing tool to find and fix your app’s vulnerabilities.

★ 37.1k stars · ▲ +10,338 本週 · 🔶 Python · 📜 Apache-2.0 · 官網在 GitHub 開啟 ↗
agentsai-hackingai-penetration-testingai-pentestingai-securityartificial-intelligencebug-bountycode-qualityctf-toolscybersecuritycybersecurity-toolsethical-hacking

這是什麼

Strix 是一款開源的 AI 滲透測試工具,README 將它描述為「像真實駭客一樣」運作的自主 AI pentesting agents。它不只做靜態掃描,而是會動態執行程式、尋找漏洞,並嘗試用實際 proof-of-concept 驗證結果;這也是它與傳統 vulnerability scanner 的主要分界。Strix 以開發者與資安團隊為對象,提供 CLI、報告、修補建議與 CI/CD 整合。其 agentic toolkit 涵蓋偵察、利用、驗證、HTTP 攔截代理、瀏覽器自動化、shell/command execution、Python sandbox,以及 SAST + DAST 等能力,定位接近一個可協作、可自動化的 AI red team 工作台

為什麼上榜

這次週榜數字非常醒目:Strix 累積 37,073 stars,本期新增 10,338 stars。它爆紅的原因,大概在於把兩個正在快速升溫的需求接在一起:一邊是 AI agent 從「輔助寫程式」往「執行安全工作流」延伸,另一邊是團隊希望把資安檢查前移到 PR 與 CI/CD,而不是等到上線後才做人工滲透測試。README 特別強調 real exploit validation:每個漏洞應包含可重現的 PoC,而不是只丟出可能誤報的靜態告警。這個承諾很吸睛,也同時提高使用者對正確率、授權範圍與安全邊界的要求。專案最後也明確警告,只能測試自己擁有或被授權的目標。

適合誰,可以拿來做什麼

Strix 適合需要把安全測試自動化的開發團隊、AppSec 團隊、bug bounty 研究者,以及想在 CI/CD 中攔截高風險漏洞的組織。README 列出的使用情境包括 application security testing、快速滲透測試、bug bounty automation 與 CI/CD integration。它可以掃本地程式碼庫、GitHub repository、黑箱網站,也能透過 instruction 指定灰箱測試、業務邏輯漏洞或 IDOR 等重點。門檻上,使用者需要 Docker 與一組支援供應商的 LLM API key;若要放進 pipeline,還要理解金鑰管理、掃描範圍、授權規則與非互動模式的退出碼行為。

上手

README 提供了明確 quick start。前置需求是 Docker running,以及 OpenAI、Anthropic、Google 等支援 provider 的 LLM API key。最短流程如下:

# Install Strix
curl -sSL https://strix.ai/install | bash

# Configure your AI provider
export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="***"

# Run your first security assessment
strix --target ./app-directory

第一次執行會自動拉取 sandbox Docker image,結果會寫到 strix_runs/<run-name>。README 也提供基本用法,例如掃本地目錄、GitHub repository 或網站;在伺服器與自動化情境可加上 -n/--non-interactive,若發現漏洞會以非零碼結束,適合接入 CI。

README 重點摘要