开源AI自主渗入测试框架Zen-Ai-Pentest部署与使用
2026-07-17
当我让AI员工实现H1盘点,他的交付……
2026-07-15
《“医保影像云”基础规范》数据安全要求梳理及尊龙凯时人生就是搏产品满足性分析
2026-07-09
新规来了!网络数据安全风险评估成为常态化要求,企业若何高效合规?
2026-07-06
开源AI渗入测试工具Z3r0部署与使用
2026-07-03
存储域
数据库加密 诺亚防勒索接见域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中央件运维服务 国产信创刷新服务 驻场运维服务 供数服务安全征询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理征询服务 数据分类分级征询服务 幼我信息风险评估服务 数据安全查抄服务Strix 是一款由OmniSecure公司开发的创新自动化安全测试工具,其特点是“自主的人为智能代理,其行为就像真正的黑客一样”。Strix具备开箱即用的齐全黑客工具包、合作且可扩大的代理团队、自主POC验证预防误报、以开发者为中心的号令行界面、提供可操作的汇报、提供自动建复等主题职能。Strix除了支持开源私有化部署之表,还提供SaaS云平台服务。Strix的主题能力如下图所示
Strix的官网地址为
https://usestrix.com/
其github代码仓库地址为
https://github.com/usestrix/strix
能够从上述蹊径中获取Strix的官方问题以及最新资讯
Strix支持Linux、macOS 和 Windows 等平台,且装置比力单一,能够使用剧本装置或者pipx装置两种方式
#剧本装置
curl -sSL https://strix.ai/install | bash
#pipx装置
pipx install strix-agent
或者直接下载编译好的二进造文件运行即可
https://github.com/usestrix/strix/releases
配置大模型API,这里使用deepseek大模型
export STRIX_LLM="deepseek/deepseek-chat"
export LLM_API_KEY="sk-xxxxxx"
配置好后既能够使用Strix进行自动化渗入了
Strix支持本地代码包、github仓库、web利用url三种扫描模式
# 扫描本地代码包
strix --target ./app-directory
# 扫描github仓库
strix --target https://github.com/org/repo
# 扫描web url
strix --target https://your-app.com
首先来进行最通例的web url扫描测试,这里用AI编写了一个轻量级的靶场,蕴含XSS缝隙、SSRF缝隙、肆意文件读取缝隙、敏感信息泄露缝隙四种常见缝隙

扫描号令为
strix --target http://192.168.30.168:5000/
#终端模式下必要启用无头模式
strix -n --target http://192.168.30.168:5000/
成功起头扫描的界面如下
在经过5幼时的运行后,仍未扫描结束,工具提醒发现2个缝隙(可能是由于Strix服务器1C2G的配置过低,服务器机能监控一向在提醒out of memory)
在dist/strix_runs/目录下会天生了局汇报,蕴含md体式的缝隙详情和csv体式的缝隙汇总表
缝隙了局如下,详情中会提供成功利用的验证POC
接下来测试Strix工具对代码包的扫描能力,同样是让AI编写一个拥有SQL注入缝隙、反序列化缝隙、RCE缝隙、SSRF缝隙、XXE缝隙、越权缝隙、信息泄露缝隙的JavaWeb项目。
扫描号令为
./strix -n --target /tmp/vulnerable-enterprise-app
运行2幼时,扫描未实现,未找出任何缝隙
而将代码包用Trae进行审计,不到5分钟已经审计出全数预设的缝隙...
从扫描指标URL的方式来说,发现Strix还是有肯定的可取之处,在扫描日志中发现它会挪用目录爆破、SQLMAP等工具进行扫描,也会凭据参数特点进行相应的测试,了局汇报内容结构齐全,在服务器机能允许+忽略token成本的前提下,应该能够获得不错的扫描成效。而对于扫描代码包进行源代码审计来说,Strix与Trae、Cursor等原生AI IDE来说,可能就不太有竞争力了。