AI 黑客系列之提克丝( Strix )
作者:微信文章一个通用的黑客安全工作打铁平台-由AI驱动。
https://github.com/usestrix/strix/
项目启动时间2025-08-09星数1.8类型通用AI黑客平台(开源)使用场景
代码审计渗透测试其他规范性的安全相关的工作
GNUSEC评估概述:项目处于初始阶段,定位范围偏广,特定方向有一定可用性(XSS等),测试过程和结果输出严重依赖AI引擎能力! 使用云AI的话成本不低。优点:填补了通用AI黑客这块的空白。作者估计想做出通用性工具平台,野心不小。啥解决不了的可以丢进来试试。缺点:
架构中的子agent会时不时的卡住,一直很久未完成,或者无响应。没有超时和检测机制。和其他AI平台一样的问题,不支持中转平台,这个需要自己改,然后做脚本启动。同上,项目的中断继续机制得自己改。Token消耗不低过于依赖AI引擎能力AI接口交互方面:上下文大小,交互速度,出错重试,多接口轮巡都没有!工业化使用不稳定。交互日志显示没有,必须改代码启动调试日志。而且基本是必须,否则不知道项目卡住没有!
下面是使用过程
项目地址
https://github.com/usestrix/strix
安装和简单介绍
pyenv install -lpyenv install 3.13.6cd ~/kit/scanner/strix/strixpyenv local 3.13.6pip install strix-agent# Local codebase analysis# 本地代码审计strix --target ./app-directory# Repository security review# github项目审计strix --target https://github.com/org/repo# Web application assessment# Web安全扫描strix --target https://your-app.com# Focused testing# 直接给出具体的测试提示strix --target api.your-app.com --instruction "Prioritize authentication and authorization testing"# Testing with credentials# 测试带上凭证strix --target https://your-app.com --instruction "Test with credentials: testuser/testpass. Focus on privilege escalation and access control bypasses."
使用体验
常规启动后任务界面
一个任务一个容器报告存放在agent_runs目录下。但是只是汇总的,详细的要进容器看/workspace目录
容器内工作目录
报告样例
开启调试日志之后$STRIX_LOG_LEVEL=DEBUG LITELLM_LOG=DEBUG STRIX_LLM_FAILOVER_DEBUG=1 scripts/start-strix-proxy-gemini.sh https://z.a.fbi.cc/
本地Ollama模式STRIX_LOG_LEVEL=DEBUGLITELLM_LOG=DEBUGSTRIX_LLM_FAILOVER_DEBUG=1 scripts/use-ollama.sh -m qwen3-coder:480b-cloud -M "qwen3-coder:480b-cloud,kimi-k2:1t-cloud,gpt-oss:120b-cloud,gpt-oss:20b-cloud,deepseek-v3.1:671b-cloud " -C 1m run ----target https://z.a.fbi.cc/
使用成本
这里用很便宜的gemini flash thinking,另外一个原因其他模型没有大上下文,会有爆错的可能,比如429连接访问过多等!openai不知道是不是官方审核内容原因,一段时间后会报错!qwen适合这个工作,不过本地ollama cloud使用失败,运行一段时间就停下来,具体原因还要调查!
可以看到一个简单的很少网页的测试站,使用了60M的token!
我对全量数据过AI来做安全,在目前的金钱能力和上下文情况下不是特别推崇!
最后喜欢AI安全相关的可以加群交流。非技术人士可以入群,但是提前和我报备。
页:
[1]