strix
项目核心内容总结:
功能
Strix 是一个开源的 AI 驱动安全测试工具,通过自主 AI 代理模拟黑客行为,动态运行代码、发现漏洞并生成真实验证的攻击证明(PoC)。支持应用安全测试、渗透测试、漏洞赏金自动化及 CI/CD 集成,可快速定位并修复安全问题。
使用方法
- 安装:通过
pipx install strix-agent安装,需配置 LLM 提供商(如 OpenAI)的 API 密钥。 - 运行扫描:使用命令
strix --target <目标路径或URL>执行扫描,支持本地代码库、GitHub 仓库或在线应用。 - 高级用法:支持灰盒测试(带凭证)、多目标测试、自定义指令文件、CI/CD 自动化(GitHub Actions 集成)及无交互模式(
-n参数)。
主要特性
- 全栈工具:集成 HTTP 代理、浏览器自动化、终端环境、Python 运行时等,支持动态和静态代码分析。
- 漏洞检测:覆盖访问控制、注入攻击、XSS、逻辑漏洞等 20+ 类安全问题,提供真实验证而非误报。
- 多代理协作:支持分布式任务分配、并行测试及动态信息共享,提升测试效率。
- 云服务:提供托管版本(usestrix.com),无需本地配置即可生成完整渗透报告、共享仪表盘及 CI/CD 集成。
- 开发者友好:CLI 输出可操作报告,支持自动修复建议与持续监控。
其他
- 支持 OpenAI、Anthropic 等 LLM,兼容本地模型(如 Ollama)。
- 可通过 GitHub 提交代码或文档贡献,社区支持 Discord。