什么是 Strix?
Strix 是一个开源的 AI 渗透测试工具,核心思路很简单——用 AI Agent 模拟真实黑客,自动对你的应用进行安全测试。它不仅能发现漏洞,还能通过实际利用来验证漏洞的真实性,最后生成修复建议甚至自动生成补丁。
项目在 GitHub 上已经获得了 39,000+ Star,是目前最热门的 AI 安全工具之一。
核心能力
1. 全自动渗透测试
Strix 内置了一套完整的渗透测试工具链:
- HTTP 拦截代理 — 抓包分析、请求篡改
- 浏览器自动化 — 自动测试 XSS、CSRF、点击劫持等前端漏洞
- 命令执行环境 — 交互式终端,用于漏洞利用和后渗透
- Python 沙箱 — 编写和验证漏洞利用代码(PoC)
- 信息收集 — 子域名枚举、指纹识别、攻击面测绘
2. 覆盖 OWASP Top 10 及更多
Strix 能检测和利用的漏洞类型包括:
- 访问控制缺陷(IDOR、越权、认证绕过)
- 注入攻击(SQL 注入、命令注入、SSTI)
- 服务端漏洞(SSRF、XXE、反序列化、RCE)
- 客户端攻击(XSS、CSRF、原型污染)
- 业务逻辑漏洞(竞争条件、支付篡改)
- API 安全(认证缺陷、批量赋值、限流绕过)
3. 多 Agent 协同
Strix 支持多 Agent 编排——多个 AI 渗透测试 Agent 分工协作,一个负责信息收集,一个负责漏洞利用,一个负责后渗透,像真正的红队一样配合。
快速上手
安装和使用非常简单:
curl -sSL https://strix.ai/install | bash
export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="your-api-key"
strix --target ./app-directory
CI/CD 集成
Strix 可以集成到 GitHub Actions 中,每次 PR 自动跑安全扫描,在代码合并前发现漏洞。
适用场景
- 应用安全测试 — 开发阶段自动发现漏洞
- 快速渗透测试 — 几小时完成,生成合规报告
- Bug Bounty 自动化 — 自动挖掘漏洞并生成 PoC
- DevSecOps — CI/CD 流水线中阻断漏洞代码上线
总结
Strix 把 AI Agent 的能力用在了安全领域,让渗透测试从几天的人工操作变成了几小时的自动验证。对于没有专职安全团队的开发者来说,这是一个非常实用的工具。
项目地址:github.com/usestrix/strix
更多 AI 开源项目推荐,关注 ai.skillteam.cn