Open-source AI penetration testing tool to find and fix your app’s vulnerabilities.
이 번역은 AI가 원문 README를 옮긴 것입니다. 원문이 항상 우선합니다.
[!TIP]
새로운 기능! Strix는 GitHub Actions 및 CI/CD 파이프라인과 완벽하게 통합됩니다. 모든 풀 리퀘스트에서 자동으로 취약점을 스캔하고, 프로덕션에 도달하기 전에 안전하지 않은 코드를 차단하세요 - 설정 없이 바로 시작할 수 있습니다.
Strix는 실제 해커처럼 행동하는 자율 AI 침투 테스트 에이전트입니다. 코드를 동적으로 실행하고, 취약점을 찾아내며, 실제 개념 증명(PoC)을 통해 검증합니다. 수동 침투 테스트의 오버헤드나 정적 분석 도구의 거짓 긍정(false positive) 없이 빠르고 정확한 보안 테스트가 필요한 개발자 및 보안 팀을 위해 설계되었습니다.
주요 기능:
사전 요구 사항:
# Strix 설치
curl -sSL https://strix.ai/install | bash
# AI 제공업체 구성
export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="your-api-key"
# 첫 번째 보안 평가 실행
strix --target./app-directory
[!NOTE]
첫 번째 실행 시 샌드박스 Docker 이미지를 자동으로 가져옵니다. 결과는
strix_runs/에 저장됩니다.
app.strix.ai에서 Strix 풀스택 침투 테스트 플랫폼을 사용해 보세요. 무료로 가입하고, 저장소와 도메인을 연결한 후 몇 분 안에 침투 테스트를 시작하세요.
첫 번째 침투 테스트 시작 →
Strix 에이전트는 전문 침투 테스터 및 윤리적 해커가 사용하는 것과 동일한 포괄적인 공격 보안 도구 키트를 갖추고 있습니다:
Strix는 OWASP Top 10 및 그 이상의 다양한 보안 취약점을 식별, 검증 및 익스플로잇합니다:
포괄적인 자동화 침투 테스트를 위한 고급 멀티 에이전트 오케스트레이션:
# 로컬 코드베이스 스캔
strix --target./app-directory
# GitHub 저장소 보안 검토
strix --target https://github.com/org/repo
# 블랙박스 웹 애플리케이션 평가
strix --target https://your-app.com
# 그레이박스 인증 테스트
strix --target https://your-app.com --instruction "Perform authenticated testing using credentials: user:pass"
# 다중 대상 테스트 (소스 코드 + 배포된 앱)
strix -t https://github.com/org/app -t https://your-app.com
# 화이트박스 소스 인식 스캔 (로컬 저장소)
strix --target./app-directory --scan-mode standard
# 사용자 지정 지침을 사용한 집중 테스트
strix --target api.your-app.com --instruction "Focus on business logic flaws and IDOR vulnerabilities"
# 파일을 통해 상세 지침 제공 (예: 참여 규칙, 범위, 제외 사항)
strix --target api.your-app.com --instruction-file./instruction.md
# 특정 베이스 브랜치에 대한 PR diff 범위 강제
strix -n --target./ --scan-mode quick --scope-mode diff --diff-base origin/main
-n/--non-interactive 플래그를 사용하여 대화형 UI 없이 프로그래밍 방식으로 Strix를 실행하세요. 서버 및 자동화 작업에 적합합니다. CLI는 종료 전에 실시간 취약점 발견 사항과 최종 보고서를 출력합니다. 취약점이 발견되면 0이 아닌 종료 코드로 종료됩니다.
strix -n --target https://your-app.com
Strix는 간단한 GitHub Actions 워크플로우를 통해 파이프라인에 추가하여 풀 리퀘스트에 대한 보안 테스트를 실행할 수 있습니다:
name: strix-penetration-test
on:
pull_request:
jobs:
security-scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v6
with:
fetch-depth: 0
- name: Install Strix
run: curl -sSL https://strix.ai/install | bash
- name: Run Strix
env:
STRIX_LLM: ${{ secrets.STRIX_LLM }}
LLM_API_KEY: ${{ secrets.LLM_API_KEY }}
run: strix -n -t./ --scan-mode quick
[!TIP]
CI 풀 리퀘스트 실행에서 Strix는 자동으로 변경된 파일로 빠른 검토 범위를 지정합니다.
diff 범위를 확인할 수 없는 경우, 전체 기록(
fetch-depth: 0)으로 체크아웃했는지 확인하거나
--diff-base를 명시적으로 전달하세요.
export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="your-api-key"
# 선택 사항
export LLM_API_BASE="your-api-base-url" # 로컬 모델(예: Ollama, LMStudio) 사용 시
export PERPLEXITY_API_KEY="your-api-key" # 검색 기능용
export STRIX_REASONING_EFFORT="high" # 사고 노력 제어 (기본값: high, 빠른 스캔: medium)
[!NOTE]
Strix는 구성을
~/.strix/cli-config.json에 자동으로 저장하므로 매번 다시 입력할 필요가 없습니다.
최상의 결과를 위한 권장 모델:
openai/gpt-5.4anthropic/claude-sonnet-4-6vertex_ai/gemini-3-pro-preview지원되는 모든 제공업체(Vertex AI, Bedrock, Azure 및 로컬 모델 포함)에 대한 자세한 내용은 LLM 제공업체 문서를 참조하세요.
동일한 Strix 경험을 엔터프라이즈급 제어와 함께 제공합니다: SSO(SAML/OIDC), 맞춤형 규정 준수 침투 테스트 보고서(SOC 2, ISO 27001, PCI DSS), 전담 지원 및 SLA, 맞춤형 배포 옵션(VPC/자체 호스팅), BYOK 모델 지원, 환경에 최적화된 맞춤형 AI 침투 테스트 에이전트. 자세히 알아보기.
전체 문서는 docs.strix.ai에서 확인할 수 있습니다. 사용법, CI/CD 통합, 스킬 및 고급 구성에 대한 자세한 가이드를 제공합니다.
질문이 있으신가요? 버그를 발견하셨나요? 기여하고 싶으신가요? Discord에 참여하세요!
Strix가 마음에 드시나요? GitHub에서 ⭐를 눌러주세요!