文章总结: Xalgorix是一个开源AI自主渗透测试平台,集成了LLM智能体与22阶段测试方法,支持本地部署和WebUI操作。文档详细介绍了平台架构、Go环境部署流程及扫描任务管理功能,可自动生成渗透测试报告并支持PDF导出。平台适合中小型组织作为低成本安全能力补充,但缺乏人工介入和深度漏洞挖掘能力。 综合评分: 82 文章分类: 渗透测试,AI安全,安全工具,解决方案,安全运营
开源AI自主渗透测试平台Xalgorix部署与使用
第59号
2026年6月26日 16:00 北京
在小说阅读器读本章
去阅读
01
Xalgorix 简介
Xalgorix 是一个自托管的 AI 安全测试平台,适用于经授权的渗透测试和漏洞悬赏工作流。它融合了 LLM 驱动的智能体、浏览器自动化、终端工具、22 阶段测试方法、实时 WebSocket 事件、发现项管理、报告生成,以及与 AgentMail 和 Discord 的集成。默认界面为 Web UI。通过一个本地仪表板,用户就可以启动扫描、监控正在进行的任务、检查发现项、配置模型/提供商设置、管理环境变量、生成带品牌标识的 PDF 报告,以及删除或恢复历史扫描。
Xalgorix 项目开源地址为:
https://github.com/xalgord/xalgorix。
02
Xalgorix 架构
Xalgorix核心架构如下图所示,Xalgorix 架构设计的亮点在于 “AI 大脑 + 传统工具链双重验证”。它不仅仅是简单地封装模型 API,而是通过 22 阶段严谨的自动化安全测试生命周期,让 LLM 根据命令行工具的回显和网页抓取的上下文实时决策。系统特别强调了安全性(本地存储、权限拦截)与真实性(消除误报)
03
Xalgorix 本地部署
检查 Go 环境安装:
- go version
克隆仓库:
-
git clone
https://github.com/xalgord/xalgorix.git
进行编译:
-
cd xalgorix
-
make build
-
sudo install -m 755 build/
xalgorix /usr/local/bin/xalgorix
创建配置文件并配置大模型 apikey:
-
vim ~/.xalgorix.env
-
XALGORIX_LLM=custom/security-model
-
XALGORIX_API_BASE=
https://your-provider.example/v1
-
XALGORIX_API_KEY=your_provider_key
最后启动即可:
- xalgorix –web –bind 0.0.0.0
访问 http://ip:9137/,输入设置的账号密码后即可登录。
04
Xalgorix 使用测试
新建一个 Scan 任务,输入目标 URL 即可开始自动化渗透测试。
Xalgorix 会让 AI 决策渗透测试规划,对 22 个阶段进行动态组合。
点击 Events 窗口中的事件条目即可看到测试详情信息。
在 Findings 窗口中查看发现的漏洞。
点击漏洞条目即可查看漏洞详情,在漏洞详情中会包含 PoC 脚本、挖掘详情、漏洞影响等信息。
扫描可以随时终止并导出 PDF 报告。
05
总结
相对于其他 AI 原生渗透测试平台,Xalgorix 更像是一个 AI 驱动的渗透测试工作流。通过 AI 决策有机组合各个阶段和模块,这样的好处是能够以较小的 Token 开销获得远超传统 DAST Scanner 的检测效果,大幅降低 AI 渗透测试成本。但是,这也决定了 Xalgorix 中的 AI 只能起到指挥调度作用,无法发挥大模型本身的漏洞挖掘能力,而且也不支持人工介入。Xalgorix 适合预算有限的中小型组织作为自身安全能力的补充和 AI 扩展。
#
RECOMMEND 往期推荐
美创科技第59号安全实验室,建有余杭区首家“网络与信息安全管理员技能大师工作室”,专注于数据安全技术领域研究,聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究,进行知识产权转化并赋能于产品。自2021年起,累计向 CNVD、CNNVD 等平台提报数千个高质量原创漏洞,并入选国家信息安全漏洞库(CNNVD)技术支撑单位(二级)、信创政务产品安全漏洞库支撑单位,团队申请发明专利二十余项,发表多篇科技论文,著有《Java代码审计实战》《数据安全实践指南》、《内网渗透实战攻略》等。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:第59号 《开源AI自主渗透测试平台Xalgorix部署与使用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论