StrixAI,一款AI驱动的自动化渗透测试工具

admin 2026-07-13 05:00:55 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: StrixAI是一款开源的AI驱动自动化渗透测试工具,利用大语言模型多智能体协作模拟黑客攻击流程,自动完成漏洞探测、利用、PoC生成及报告输出。它支持黑盒、白盒和Git仓库测试,提供quick、standard、deep三种扫描模式。部署需Docker和Python3.12+,首次启动可能因网络问题卡顿。建议仅用于合法测试并确保目标授权。 综合评分: 81 文章分类: 渗透测试,AI安全,代码审计


cover_image

Strix AI,一款 AI 驱动的自动化渗透测试工具

原创

小智 小智

智榜样网络安全学习中心

2026年7月11日 08:00 湖南

在小说阅读器读本章

去阅读

Strix 是一款开源的 AI 渗透工具,大语言模型驱动的多智能体协作平台,它会模拟真实的黑客攻击的完整流程,自动完成漏洞探测、利用、PoC 生成以及报告输出

不同于传统的漏洞扫描工具,strix能利用内置的工具,对目标进行渗透测试,攻击链调整,它支持本地代码白盒,github仓库,线上站点黑盒测试,是一款学习渗透测试非常不错的工具

环境要求

部署前,需要满足以下条件

1、成功安装 docker

2、windows 需要 WSL2

3、python版本3.12+

若需要24小时渗透测试,可以准备一台云服务器:https://link.aitq.net/6IfzcV

本地部署

官方安装命令

curl -sSL https://strix.ai/install | bash

image-20260709164630970

配置API Key

export STRIX_LLM="openai/deepseek-v4-flash"
export LLM_API_KEY="sk-xxxxxxxx"
export LLM_API_BASE="https://api.deepseek.com/v1"
strix -n --scan-mode quick --target ./

image-20260709213933801

使用方法

常用参数

| 参数 | 说明 | | — | — | | -n / --non-interactive | 后台运行 | | --scan-mode <模式> | 扫描模式,可选 quick / standard / deep | | --target <目标> | 扫描目标,支持本地目录、网站 URL、Git 仓库地址 | | --instruction "指令" | 指定测试范围、漏洞类型、测试账号等,简:自定义提示词,自定义攻击方式 | | --exclude "路径" | 排除无关目录 / 文件,比如 node_modules,*.zip,节省 Token 与时间 | | --output-dir <路径> | 报告输出目录 | | --max-budget-usd <数值> | 限制单次扫描的 LLM 上限,避免超额扣费 | | --verbose | 输出实时详细日志 |

常见模式

| 模式 | 耗时 | 扫描深度 | 适用场景 | | — | — | — | — | | quick | 几分钟 | 快速检测 | PR 提交校验、冒烟测试、快速初筛 | | standard | 30 分钟~1 小时 | 深度与速度 | 日常安全巡检、版本上线前检查 | | deep | 1~4 小时 | 全面深度渗透 | 高危系统终审、正式渗透测试 |

1、黑盒测试

strix --scan-mode quick --target http://src.zhibangyang.cn

执行如上命令后会出现这个界面,等待启动成功

image-20260710000525969

开始渗透

image-20260710000612735

让我们分析下细节,在渗透的途中,它会先分析js文件,然后查看是否会泄露敏感信息,再就是waf识别,可以识别目标是否存在waf,若存在waf,他会用常见的waf绕过规则进行绕过。

image-20260710000757591

自动去github上寻找系统源码,进行代码审计,找路由/API接口、未授权接口,注释泄露的账号等等,帮助我们快速寻找突破口

image-20260710150713923

找漏洞信息,比如SSRF漏洞

image-20260710153434818

sql注入检测

image-20260710153839407

自动生成漏洞报告,包含漏洞分级、CVSS 评分、复现步骤、PoC 验证代码、修复建议,可直接用于安全评审输出。

image-20260710154359431

2、白盒测试

扫描本地项目源码,进行白盒测试:

# 进入项目目录
cd /path/to/your/project

# 快速扫描当前目录
strix -n --scan-mode quick --target ./

3、git仓库测试

使用示例

strix --target https://github.com/组织名/仓库名

常见问题

1、如何中文显示?

只需要在这里添加一句自定义提示词即可,包括漏洞报告的输出,也可以这样

strix --target http://src.zhibangyang.cn --instruction&nbsp;"请使用中文告诉我每一个执行步骤"

image-20260710205842500

2、模型调用 401 /404 错误

这个问题通常是由于api key错误,或者过期了,如果显示404,请检查url是否正确

3、首次启动卡顿

首次启动会拉取docker镜像,若网络不是海外网络,那么可能会连接超时或者禁止访问

合规声明

本文仅用于合法的渗透测试和学习使用,请不要对未授权的目标进行渗透测试,所造成的后果自行承担

🎁 互动与福利

分享本文到朋友圈,点赞+在看+关注,一键三联,可以凭截图找老师领取

上千学习资料+工具

22919c6e4ef945aa9a9cbf0f6df4f6ff

分享后扫码加我!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:智榜样网络安全学习中心 小智 小智《Strix AI,一款 AI 驱动的自动化渗透测试工具》

评论:0   参与:  0