图龙网络科技

问答社区

原创作者: 图龙网络科技 发布时间: 2023-09-23 279.2K 人阅读

一周就获得了近 8K 的 Star,它用 AI 黑客团队自动渗透测试你的代码。

太极混元 发布于 5个月前 分类:语言模型
它理念确实有意思,不像传统的安全扫描工具。Strix 不是简单的规则匹配引擎,而是让 AI 像真实黑客一样在你的网站或应用里找漏洞。
模拟真实黑客的思考和行为方式。1763350778-c4ca4238a0b9238
Strix 通过一组自主 AI 智能体(AI Agents)来一步步的执行动态安全测试,这些智能体能够像人一样分析目标、制定攻击策略并执行实际攻击。
像真实黑客一样动态运行代码来找漏洞。

不仅能发现潜在漏洞,还能通过生成概念验证(PoC)来确认漏洞是不是真的。
这个开源项目最亮眼的地方在于多 AI 智能体协同机制,不同专业领域的 AI 智能体会分工协作。
比如专门检测 SSRF 的智能体、专攻 IDOR 漏洞的智能体,它们会共享发现、动态协调,实现全面且高效的测试覆盖。
内置的全套黑客工具集也省去了额外配置的麻烦,从 HTTP 代理、浏览器自动化到终端环境、代码分析功能一应俱全,能应对各类安全测试需求。

如何使用

首先,得确保你的电脑已安装 Docker 并处于运行状态,同时需要 Python 3.12 或更高版本。然后,按照如下安装步骤:

# 通过pipx安装Strixpipx install strix-agent# 配置AI服务提供商(如OpenAI)export STRIX_LLM="openai/gpt-5"export LLM_API_KEY="your-api-key"# 运行首次安全评估strix --target ./app-directory

有进阶用法,对于需要身份验证的灰盒测试,可以使用自定义指令:

strix --target https://your-app.com --instruction "使用凭证user:pass执行身份验证测试"

在CI/CD环境中,可以使用非交互模式:

strix -n --target https://your-app.com

首次运行时会自动下载沙盒 Docker 镜像,测试结果将保存到 agent_runs/<运行名称>目录中。

0个回复

  • 龙族们都在等待回复

提供中小企业建站高端正版精品系统

图龙网络 开发市场