提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      以“AI+数据安全”领雁!祝贺美创牵头项目入选浙江省科技厅“尖兵领雁”计划 !

      2025-12-22

       2

      美创AI灾备专家:引领灾备领域迈入“智能化”时代

      2025-12-15

       3

      热点观察|美创科技丁斐:数据安全 × 价值共创?可信数据空间的 “双向奔赴”

      2025-12-03

       4

      美创科技高校供应链数据安全方案斩获 2025 年度 “金智奖”

      2025-12-03

       5

      每周安全速递³⁶⁷ | ShinyHunters 开发新型勒索软件ShinySp1d3r

      2025-11-21
      相关文章

      每周安全速递³⁷⁰ | 勒索软件攻击导致心理健康机构超11万人数据泄露

      2025-12-19

      每周安全速递³⁶⁹ | 安卓勒索软件DroidLock针对西班牙语言用户进行攻击

      2025-12-15

      每周安全速递³⁶⁸ | 美国电信与汽车服务巨头遭Cl0p勒索攻击

      2025-12-05

      每周安全速递³⁶⁷ | ShinyHunters 开发新型勒索软件ShinySp1d3r

      2025-11-21

      AI大模型+N8N工作流的自动化安全测试流程初探

      2025-11-17
      Strix自动渗透测试平台搭建与使用
      发布时间:2025-12-22 阅读次数: 971 次
      01    Strix介绍

      Strix 是一款由OmniSecure公司开发的创新自动化安全测试工具,其特点是“自主的人工智能代理,其行为就像真正的黑客一样”。Strix具备开箱即用的完整黑客工具包、协作且可扩展的代理团队、自主POC验证避免误报、以开发者为中心的命令行界面、提供可操作的报告、提供自动修复等核心功能。Strix除了支持开源私有化部署之外,还提供SaaS云平台服务。Strix的核心能力如下图所示


      02    Strix本地搭建


      Strix的官网地址为

      https://usestrix.com/


      其github代码仓库地址为

      https://github.com/usestrix/strix


      可以从上述途径中获取Strix的官方问题以及最新资讯

      Strix支持Linux、macOS 和 Windows 等平台,且安装比较简单,可以使用脚本安装或者pipx安装两种方式

      #脚本安装
      curl -sSL https://strix.ai/install | bash
      #pipx安装
      pipx install strix-agent


      或者直接下载编译好的二进制文件运行即可

      https://github.com/usestrix/strix/releases


      配置大模型API,这里使用deepseek大模型

      export STRIX_LLM="deepseek/deepseek-chat"
      export LLM_API_KEY="sk-xxxxxx"



      配置好后既可以使用Strix进行自动化渗透了


      03   Strix自动化渗透测试

      Strix支持本地代码包、github仓库、web应用url三种扫描模式

      # 扫描本地代码包
      strix --target ./app-directory
      # 扫描github仓库
      strix --target https://github.com/org/repo
      # 扫描web url
      strix --target https://your-app.com


      首先来进行最常规的web url扫描测试,这里用AI编写了一个轻量级的靶场,包含XSS漏洞、SSRF漏洞、任意文件读取漏洞、敏感信息泄露漏洞四种常见漏洞



      扫描命令为

      strix --target http://192.168.30.168:5000/
      #终端模式下需要启用无头模式
      strix -n --target http://192.168.30.168:5000/


      成功开始扫描的界面如下


      在经过5小时的运行后,仍未扫描完毕,工具提示发现2个漏洞(可能是因为Strix服务器1C2G的配置过低,服务器性能监控一直在提示out of memory)


      在dist/strix_runs/目录下会生成结果报告,包含md格式的漏洞详情和csv格式的漏洞汇总表



      漏洞结果如下,详情中会提供成功利用的验证POC




      接下来测试Strix工具对代码包的扫描能力,同样是让AI编写一个具有SQL注入漏洞、反序列化漏洞、RCE漏洞、SSRF漏洞、XXE漏洞、越权漏洞、信息泄露漏洞的JavaWeb项目。



      扫描命令为

      ./strix -n --target /tmp/vulnerable-enterprise-app


      运行2小时,扫描未完成,未找出任何漏洞




      而将代码包用Trae进行审计,不到5分钟已经审计出全部预设的漏洞...


      04   总结

      从扫描目标URL的方式来说,发现Strix还是有一定的可取之处,在扫描日志中发现它会调用目录爆破、SQLMAP等工具进行扫描,也会根据参数特征进行相应的测试,结果报告内容结构完整,在服务器性能允许+忽略token成本的前提下,应该可以获得不错的扫描效果。而对于扫描代码包进行源代码审计来说,Strix与Trae、Cursor等原生AI IDE来说,可能就不太有竞争力了。

      上一条:没有了,看看其他的吧
      下一条:每周安全速递³⁷⁰ | 勒索软件攻击导致心理健康机构超11万人数据泄露
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部