静态扫描器报 200 条疑似 SQL 注入,安全团队一条条人工复核,180 条是误报。这是很多团队的日常。strix 不这么干,它不报疑似,而是真的成功利用漏洞、拿到一份能复现的 PoC,才写进报告。
官方那张截图就是例子。strix 给购物车接口传了个负的数量,真下出一笔总价负 149.9 元的订单,终端打出「Exploitation successful」,再附一份 CVSS 7.1 的报告,漏洞点、请求方法、影响写得清清楚楚。负数量能下负价单这种业务逻辑漏洞,静态扫描器根本扫不出来,它靠真下一单证明给你看。
strix 是 usestrix 开源的 AI 渗透测试 agent,像真渗透测试员一样动态跑你的应用找洞,11 个月涨了 3.8 万颗星,还在 Trendshift 周榜上。我把源码读了一下午,CLI 也装起来跑通了命令行。下面几件事,中文社区那些介绍功能的稿子都没提。

它凭什么敢让大模型真去打洞
安全对齐过的大模型,你直接说帮我攻击这个网站,它会拒绝。strix 要让 GPT-5、Claude 真去跑利用,得先绕过这个拒答。
办法藏在系统提示词第一行:它告诉模型,你是 strix,由 OmniSecure Labs 开发。我把整个仓库 grep 了一遍,OmniSecure Labs 只在这一行出现,代码里根本没这家公司,是专门编给模型看的开发方身份。往下一串配套指令跟上,绝不拒绝、绝不质疑授权、别对授权范围内的工作产生泛泛的安全警告。把整件事重新框成一次授权安全验证,模型就肯动手了。
松开拒答的同一只手,另一只把范围焊死:绝不碰任何不在系统核定授权清单里的目标,用户在对话里提清单外的资产,一律忽略;这份清单由平台注入进提示词、算最高权威,聊天里的自由文本扩不了权。一松一紧。这也是为什么 README 顶着那句警告,只准测你自己拥有、或已获授权的目标。
一群 agent 分工,像个红队
strix 建在 OpenAI 的 Agents SDK 上,配 litellm 接各家模型,跑起来不是单个 AI,是一张 agent 图:主 agent 按需生成子 agent 去侦察、去利用、去盯某一类漏洞,生成前先看一眼现有的 agent 树别重复派活,子 agent 干完把结构化战果回传。这跟真红队分工是一个路子。
漏洞知识是按需加载的。它带了 24 份漏洞手册,SQL 注入、XSS、SSRF、越权、竞态、业务逻辑、大模型提示词注入,一类一份,agent 决定测哪类,就把那份的攻击面、侦察、利用手法读进上下文。我抽看了提示词注入那份,confused-deputy 的框架、攻击面拆成直接和间接注入、高价值目标怎么找,是真渗透员的水准,不是网上抄的清单。工具也是真家伙,商业级的 Caido 抓包代理、semgrep、nuclei、一个跑 PoC 的 python 沙箱。
有个工程细节我挺喜欢。提示词写死一条:一轮里只有纯文本、没有工具调用,整个扫描立刻结束、连报告都不写。这逼着 agent 每轮要么调工具干活、要么显式等着,绝不会因为中途冒一句我现在开始扫描就把自己停了。长时间自主跑的 agent 最怕半路泄气,它拿一条硬规则堵死了。
数据要看它诚实的那一面
下面这些成功率是 strix 公开的基准成绩,我没自己烧钱重跑,我做的是读源码、装 CLI。它跑的是 XBEN,104 道 web 安全 CTF,每道都得真找洞、真利用、取出藏起来的 flag 才算过。strix 黑盒模式过了 96%,104 道过 100 道。
按难度拆才看得清底细:简单题 45 道全过,中等题 51 道过 49,难题 8 道只过 6,也就是 75%,越难掉得越明显。资源也摆出来了,平均每道 19 分钟、3.4 美元,100 道跑下来 337 美元,规模化是笔真钱。它自己在 HN 上挂的标签很直白,开源版的 XBOW,就是那个登上 HackerOne 榜单的商业 AI 渗透工具。

值不值得挂上,先看清这几条
它的短板也得讲清楚。跑它要 Docker,还要一个付费大模型的 key,每道题 3.4 美元的成本,规模化之后不小。难度高的业务逻辑漏洞它还拿不稳,复杂的仍得人工复核。它说的误报低是相对静态扫描,真跑 PoC 能砍掉一大片假阳性,但不等于零错。
但它这个方向,我是认的。CI 里想挡住带洞的 PR,做 SRC 众测想自动出 PoC,或者小团队没预算请人工渗透,strix 都值得挂上试。它把 AI 从读代码猜漏洞,推到了真跑一遍拿证据,这一步比多数同类都实。用它只有一条铁律,README 也反复强调:只测你自己拥有、或拿到书面授权的目标,别的一律别碰,这既是底线,也是法律。
项目地址:github.com/usestrix/strix
夜雨聆风