usestrix/strix
Open-source AI penetration testing tool to find and fix your app’s vulnerabilities.
這是什麼
Strix 是一款開源的 AI 滲透測試工具,README 將它描述為「像真實駭客一樣」運作的自主 AI pentesting agents。它不只做靜態掃描,而是會動態執行程式、尋找漏洞,並嘗試用實際 proof-of-concept 驗證結果;這也是它與傳統 vulnerability scanner 的主要分界。Strix 以開發者與資安團隊為對象,提供 CLI、報告、修補建議與 CI/CD 整合。其 agentic toolkit 涵蓋偵察、利用、驗證、HTTP 攔截代理、瀏覽器自動化、shell/command execution、Python sandbox,以及 SAST + DAST 等能力,定位接近一個可協作、可自動化的 AI red team 工作台。
為什麼上榜
這次週榜數字非常醒目:Strix 累積 37,073 stars,本期新增 10,338 stars。它爆紅的原因,大概在於把兩個正在快速升溫的需求接在一起:一邊是 AI agent 從「輔助寫程式」往「執行安全工作流」延伸,另一邊是團隊希望把資安檢查前移到 PR 與 CI/CD,而不是等到上線後才做人工滲透測試。README 特別強調 real exploit validation:每個漏洞應包含可重現的 PoC,而不是只丟出可能誤報的靜態告警。這個承諾很吸睛,也同時提高使用者對正確率、授權範圍與安全邊界的要求。專案最後也明確警告,只能測試自己擁有或被授權的目標。
適合誰,可以拿來做什麼
Strix 適合需要把安全測試自動化的開發團隊、AppSec 團隊、bug bounty 研究者,以及想在 CI/CD 中攔截高風險漏洞的組織。README 列出的使用情境包括 application security testing、快速滲透測試、bug bounty automation 與 CI/CD integration。它可以掃本地程式碼庫、GitHub repository、黑箱網站,也能透過 instruction 指定灰箱測試、業務邏輯漏洞或 IDOR 等重點。門檻上,使用者需要 Docker 與一組支援供應商的 LLM API key;若要放進 pipeline,還要理解金鑰管理、掃描範圍、授權規則與非互動模式的退出碼行為。
上手
README 提供了明確 quick start。前置需求是 Docker running,以及 OpenAI、Anthropic、Google 等支援 provider 的 LLM API key。最短流程如下:
# Install Strix
curl -sSL https://strix.ai/install | bash
# Configure your AI provider
export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="***"
# Run your first security assessment
strix --target ./app-directory
第一次執行會自動拉取 sandbox Docker image,結果會寫到 strix_runs/<run-name>。README 也提供基本用法,例如掃本地目錄、GitHub repository 或網站;在伺服器與自動化情境可加上 -n/--non-interactive,若發現漏洞會以非零碼結束,適合接入 CI。
README 重點摘要
- 多 agent 滲透測試:可由偵察、利用、後滲透等專門 agent 協作,並平行處理多目標。
- 重視可驗證結果:README 強調 validated findings with PoCs,而非只輸出靜態掃描警告。
- DevSecOps 友善:支援 GitHub Actions、PR diff-scope、headless mode 與 CI 失敗條件。
- 漏洞範圍廣:涵蓋 OWASP Top 10、IDOR、SQL/NoSQL injection、SSRF、XSS、CSRF、RCE、API security 等。
- 使用邊界清楚:README 明確提醒只能測試自己擁有或有授權的應用,使用者需自行負責合法與倫理使用。