Strix 是一个开源的 AI 安全代理平台,它将大语言模型(LLM)与专业渗透测试知识深度融合,让开发者、安全工程师甚至非安全背景的工程师,都能用自然语言“指挥”AI 自动完成漏洞扫描、代码审计、API 安全测试和修复建议生成。它不依赖传统规则库,而是通过可解释的 AI 推理链,模拟真实黑客的思维路径,主动探索 Web 应用、API 和前端代码中的逻辑缺陷、越权访问、注入风险等常见问题——真正把“AI 渗透测试”从概念变成开箱即用的生产力工具。
核心功能
- 智能漏洞发现:支持对 Web 应用、RESTful API、前端源码(HTML/JS)进行深度分析,自动识别 OWASP Top 10 类漏洞(如 SSRF、IDOR、业务逻辑缺陷),并附带复现步骤与上下文截图。
- AI 驱动的交互式渗透:内置多角色 AI 代理(侦察员、漏洞利用者、修复顾问),可自主执行登录绕过、权限提升、数据泄露验证等红队级操作,并实时生成攻击链报告。
- 代码级安全审计:直接接入 GitHub/GitLab 仓库,结合 AST 解析与 LLM 推理,精准定位 Python、JavaScript、TypeScript 等语言中存在安全隐患的代码片段(如硬编码密钥、不安全反序列化),并提供符合 CWE 标准的修复补丁。
- 自动化修复建议 + PR 生成:不仅报漏洞,还能基于最佳实践生成可合并的安全修复代码,一键创建 Pull Request,大幅缩短“发现→修复→验证”闭环周期。
- CTF/红队训练沙盒:内置靶场集成能力,支持连接 DVWA、WebGoat 等经典漏洞环境,让安全新人通过 AI 引导式教学快速掌握渗透思路与工具链协作。
- 企业级合规适配:预置 PCI-DSS、GDPR、等保2.0 等检查模板,输出结构化报告(含风险等级、CVE 关联、整改优先级),满足审计与合规汇报需求。
适合哪些人用
Strix 不是给极客看的玩具,而是面向真实工作场景的生产力工具:安全工程师可用它扩展人工审计覆盖范围;DevSecOps 团队能将其嵌入 CI/CD 流水线,在每次构建时自动执行安全门禁;全栈/后端开发者无需学习 Burp Suite 或 Metasploit,用几句中文就能自查接口安全性;高校师生与 CTF 爱好者可通过可视化攻击路径理解漏洞原理;甚至初创公司技术负责人也能低成本获得接近专业红队的服务能力,为产品上线前筑牢第一道防线。
快速上手
安装仅需一行命令:pip install strix-agent。启动后运行 strix scan --url https://your-app.com --auth "Bearer xxx" 即可开始自动化检测;若要审计本地代码,使用 strix audit --path ./src --language python;所有结果默认以交互式 HTML 报告呈现,支持导出 PDF 或对接 Jira/Splunk。进阶用户还可通过 YAML 配置自定义攻击策略、LLM 后端(支持 Ollama、OpenAI、Claude 等),或在 Discord 社区获取官方维护的 50+ 实战插件(如微信小程序专项检测器、低代码平台扫描器)。
项目信息
usestrix/strix
GitHub
Open-source AI hackers to find and fix your app’s vulnerabilities.
26.9k
今日 +122 stars today
Stars
3.0k
Forks
Python
Apache-2.0
编程语言:Python|GitHub Star 数:26,852|开源协议:Apache-2.0|GitHub 项目地址
如果你正在为“安全左移”落地难、渗透测试人力不足或漏洞修复效率低而困扰,Strix 就是那个能把 AI 转化为真实安全 ROI 的开源答案。
