新提示Strix可与GitHub Actions和CI/CD管道无缝集成。每次拉取请求时自动扫描漏洞在不安全代码进入生产环境前将其拦截无需任何设置即可开始使用。Strix概述Strix是自主AI代理行为就像真正的黑客。它们动态运行代码查找漏洞并通过实际的概念验证PoC来验证这些漏洞。专为需要快速、准确进行安全测试的开发人员和安全团队打造无需手动渗透测试的繁琐也不会像静态分析工具那样产生误报。核心功能1. 开箱即用的完整黑客工具包拥有全面的安全测试工具集。2. 协作与可扩展的代理团队多个代理协作可按需扩展。3. 基于PoC的真实验证避免误报提供真实有效的漏洞验证。4. 以开发者为中心的CLI提供可操作的报告。5. 自动修复与报告加速漏洞修复过程。应用场景1. 应用程序安全测试检测并验证应用程序中的关键漏洞。2. 快速渗透测试数小时内完成渗透测试而非数周并生成合规报告。3. 漏洞赏金自动化自动进行漏洞赏金研究生成PoC以加快报告速度。4. CI/CD集成在CI/CD中运行测试防止漏洞进入生产环境。快速开始前提条件1. Docker正在运行。2. 从任何受支持的提供商如OpenAI、Anthropic、Google等获取LLM API密钥。安装与首次扫描代码如下curl -sSL https://strix.ai/install | bashexport STRIX_LLMopenai/gpt-5.4export LLM_API_KEYyour-api-keystrix --target ./app-directory注意首次运行会自动拉取沙箱Docker镜像结果将保存到 strix_runs/ 目录。Strix平台可在 app.strix.ai 上试用Strix全栈安全平台免费注册连接代码仓库和域名几分钟内即可启动渗透测试。1. 基于PoC和复现步骤的验证结果提供详细的漏洞验证信息。2. 一键自动修复以可合并的拉取请求形式呈现。3. 跨代码、云及基础设施的持续监控实时监测安全状况。4. 与GitHub、Slack、Jira、Linear和CI/CD管道集成实现工作流的无缝对接。5. 基于过往发现和修复的持续学习不断提升检测能力。功能特性智能安全工具Strix代理配备了全面的安全测试工具包1. 完整的HTTP代理可对请求/响应进行全面操作和分析。2. 浏览器自动化多标签浏览器用于测试XSS、CSRF和认证流程。3. 终端环境交互式shell用于命令执行和测试。4. Python运行时可进行自定义漏洞利用开发和验证。5. 侦察功能自动进行OSINT和攻击面映射。6. 代码分析具备静态和动态分析能力。7. 知识管理结构化的发现和攻击文档。全面的漏洞检测Strix能够识别并验证广泛的安全漏洞1. 访问控制如IDOR、权限提升、认证绕过。2. 注入攻击包括SQL、NoSQL和命令注入。3. 服务器端如SSRF、XXE和反序列化漏洞。4. 客户端如XSS、原型污染和DOM漏洞。5. 业务逻辑如竞态条件和工作流操纵。6. 认证如JWT漏洞和会话管理问题。7. 基础设施如配置错误和暴露的服务。代理协作网络先进的多代理编排实现全面的安全测试1. 分布式工作流针对不同攻击和资产的专业代理。2. 可扩展测试并行执行快速实现全面覆盖。3. 动态协调代理之间协作并共享发现。使用示例基本用法代码如下strix --target ./app-directorystrix --target https://github.com/org/repostrix --target https://your-app.com高级测试场景代码如下strix --target https://your-app.com --instruction Perform authenticated testing using credentials: user:passstrix -t https://github.com/org/app -t https://your-app.comstrix --target ./app-directory --scan-mode standardstrix --target api.your-app.com --instruction Focus on business logic flaws and IDOR vulnerabilitiesstrix --target api.your-app.com --instruction-file ./instruction.mdstrix -n --target ./ --scan-mode quick --scope-mode diff --diff-base origin/main无头模式使用 -n/--non-interactive 标志以编程方式运行Strix无需交互式UI适合服务器和自动化作业。CLI会打印实时漏洞发现并在退出前输出最终报告。发现漏洞时退出码不为零。代码如下strix -n --target https://your-app.comCI/CDGitHub Actions可将Strix添加到管道中通过轻量级的GitHub Actions工作流在拉取请求时运行安全测试。代码如下name: strix-penetration-teston:pull_request:jobs:security-scan:runs-on: ubuntu-lateststeps:- uses: actions/checkoutv6with:fetch-depth: 0- name: Install Strixrun: curl -sSL https://strix.ai/install | bash- name: Run Strixenv:STRIX_LLM: ${{ secrets.STRIX_LLM }}LLM_API_KEY: ${{ secrets.LLM_API_KEY }}run: strix -n -t ./ --scan-mode quick提示在CI拉取请求运行中Strix会自动将快速审查范围限定为更改的文件。如果无法解析差异范围请确保 checkout 使用完整历史记录fetch-depth: 0或明确传递 --diff-base。配置代码如下export STRIX_LLMopenai/gpt-5.4export LLM_API_KEYyour-api-keyexport LLM_API_BASEyour-api-base-url 如果使用本地模型如Ollama、LMStudioexport PERPLEXITY_API_KEYyour-api-key 用于搜索功能export STRIX_REASONING_EFFORThigh 控制思考力度默认高快速扫描中注意Strix会自动将配置保存到 ~/.strix/cli-config.json每次运行时无需重新输入。推荐模型为获得最佳效果推荐使用以下模型1. OpenAI GPT-5.4 — openai/gpt-5.42. Anthropic Claude Sonnet 4.6 — anthropic/claude-sonnet-4-63. Google Gemini 3 Pro Preview — vertex_ai/gemini-3-pro-preview有关所有受支持的提供商包括Vertex AI、Bedrock、Azure和本地模型请参阅LLM提供商文档。企业版企业版可提供相同的Strix体验并具备企业级控制功能1. SSOSAML/OIDC2. 自定义合规报告3. 专用支持与SLA4. 自定义部署选项VPC/自托管5. BYOK模型支持6. 针对环境优化的定制代理。了解更多信息。文档完整的文档可在 docs.strix.ai 上获取其中包括使用指南、CI/CD集成、技能和高级配置的详细说明。贡献欢迎代码、文档和新技能的贡献。请查看贡献指南以开始贡献或提交拉取请求/问题。加入我们的社区有问题、发现漏洞或想贡献代码加入Discord支持项目喜欢Strix在GitHub上给个 ⭐致谢Strix基于LiteLLM、Caido、Nuclei、Playwright和Textual等优秀的开源项目构建。感谢这些项目的维护者警告仅对拥有或获得测试许可的应用程序进行测试。有责任以道德和合法的方式使用Strix。