strix - アプリの脆弱性を見つけて修正するオープンソースAIハッカー
(github.com/usestrix)- 自律型AIエージェント方式で実際のハッカーのようにコードを直接実行し、脆弱性を発見した後に実際の**PoC(概念実証)**で検証するオープンソースのセキュリティテストツール
- CI/CDパイプラインおよびGitHub Actions統合をサポートし、PRごとに自動でセキュリティスキャンを実行して、脆弱なコードが本番環境にデプロイされる前にブロック可能
- 検出可能な脆弱性タイプはIDOR・権限昇格・SQLインジェクション・SSRF・XSS・JWT脆弱性・インフラ設定不備など、多様なカテゴリを含む
- 複数のエージェントが協調するGraph of Agents構造により、分散ワークフロー・並列実行・動的コラボレーションを通じて包括的なテストを実施
- Full HTTP Proxy、ブラウザ自動化、ターミナル環境、Pythonランタイム、OSINT偵察、コード分析など、実際のハッカーツールキットに相当するツールを標準搭載
- ローカルコードベース(
./app-directory)、GitHubリポジトリURL、デプロイ済みWebアプリURLなど、多様なターゲット形式をサポート - ヘッドレス(
-n)モードでサーバーおよび自動化環境での非対話実行が可能で、脆弱性を発見した場合は異常終了コードでパイプラインを停止 - 推奨LLM: OpenAI GPT-5.4、Anthropic Claude Sonnet 4.6、Google Gemini 3 Pro Preview など、主要プロバイダーをすべてサポート
- クラウドプラットフォーム(app.strix.ai)では、ワンクリック自動修正(PR形式)、継続的モニタリング、GitHub・Slack・Jira・Linear連携も追加提供
- Apache-2.0ライセンス / Python
1件のコメント
プログラム開発そのものより、セキュリティ対策用のコードのほうがだんだん増えていきそうな気がする…!?