usestrix/strix

Open-source AI penetration testing tool to find and fix your app’s vulnerabilities.

GitHub에서 열기 ↗ agentsai-hackingai-penetration-testingai-pentestingai-securityartificial-intelligencebug-bountycode-qualityctf-toolscybersecuritycybersecurity-toolsethical-hackinghackingllm-securityoffensive-securitypenetration-testingpentesting-toolsred-teamingsecuritysecurity-automation
39,810
GitHub 스타
4,171
포크
Python
언어
Apache-2.0
라이선스
2026.07.10
최근 푸시
2026.07.04
별표한 날

AI 분석

설치 난이도: 쉬움
큐레이터 노트
Strix는 자동화된 침투 테스트를 원하는 개발자 및 보안 팀에게 강력한 도구입니다. 특히 CI/CD 통합을 통한 지속적 보안 검증이 필요한 조직에 적합합니다. 오픈소스이므로 커스터마이징이 가능하며, PoC 기반 검증으로 신뢰할 수 있는 결과를 제공합니다.

강점

  • 자율 AI 에이전트가 실제 해커처럼 동적으로 코드를 실행하고 PoC를 생성하여 거짓 긍정을 최소화합니다.
  • 멀티 에이전트 오케스트레이션을 통해 정찰, 익스플로잇, 사후 익스플로잇을 병렬로 수행하여 광범위한 커버리지를 제공합니다.
  • CI/CD 파이프라인과의 원활한 통합으로 풀 리퀘스트 단계에서 자동으로 취약점을 차단할 수 있습니다.

약점

  • LLM API 키가 필수이므로 외부 AI 제공업체에 의존해야 하며, 이는 비용 및 데이터 프라이버시 문제를 야기할 수 있습니다.
  • 로컬 모델 사용이 가능하지만, 권장 모델은 유료 API 기반이므로 무료 사용이 제한적입니다.
  • README에 명시된 기능이 많지만, 실제 성능과 안정성은 사용자 경험에 따라 다를 수 있습니다.

주의사항

  • Strix는 실제 공격 도구이므로, 승인되지 않은 시스템에 사용하면 법적 문제가 발생할 수 있습니다. 반드시 자신의 애플리케이션 또는 허가된 대상에만 사용하세요.
  • 첫 실행 시 Docker 샌드박스 이미지를 다운로드하므로 네트워크 환경과 디스크 공간을 확인해야 합니다.
  • LLM API 키를 환경 변수에 노출하므로, CI/CD 시크릿 관리에 주의해야 합니다.

시작 가이드

  • 공식 문서(docs.strix.ai)를 방문하여 상세 사용법과 CI/CD 통합 가이드를 확인하세요.
  • 로컬 환경에 Strix를 설치하고, 데모 애플리케이션을 대상으로 첫 번째 스캔을 실행해 보세요.
  • GitHub Actions 워크플로우를 설정하여 풀 리퀘스트마다 자동 보안 테스트가 실행되도록 구성하세요.

README 한국어 번역

이 번역은 AI가 원문 README를 옮긴 것입니다. 원문이 항상 우선합니다.

Strix

오픈소스 AI 침투 테스트 도구. 앱의 취약점을 찾고 수정하는 자율 AI 해커.

[!TIP]

새로운 기능! Strix는 GitHub Actions 및 CI/CD 파이프라인과 완벽하게 통합됩니다. 모든 풀 리퀘스트에서 자동으로 취약점을 스캔하고, 프로덕션에 도달하기 전에 안전하지 않은 코드를 차단하세요 - 설정 없이 바로 시작할 수 있습니다.


Strix 개요

Strix는 실제 해커처럼 행동하는 자율 AI 침투 테스트 에이전트입니다. 코드를 동적으로 실행하고, 취약점을 찾아내며, 실제 개념 증명(PoC)을 통해 검증합니다. 수동 침투 테스트의 오버헤드나 정적 분석 도구의 거짓 긍정(false positive) 없이 빠르고 정확한 보안 테스트가 필요한 개발자 및 보안 팀을 위해 설계되었습니다.

주요 기능:

  • 전체 침투 테스트 도구 키트 - 정찰, 익스플로잇, 검증을 기본 제공
  • 멀티 에이전트 오케스트레이션 - 협업하고 확장 가능한 AI 침투 테스터 팀
  • 실제 익스플로잇 검증 - 레거시 취약점 스캐너의 거짓 긍정이 아닌 실제 작동하는 PoC
  • 개발자 우선 CLI - 수정 지침이 포함된 실행 가능한 결과
  • 자동 수정 및 보고 - 패치 생성 및 규정 준수 보고서 생성

사용 사례

  • 애플리케이션 보안 테스트 - 애플리케이션의 중요 취약점 탐지 및 검증
  • 신속 침투 테스트 - 규정 준수 보고서와 함께 몇 주가 아닌 몇 시간 안에 침투 테스트 완료
  • 버그 바운티 자동화 - 버그 바운티 연구 자동화 및 더 빠른 보고를 위한 PoC 생성
  • CI/CD 통합 - CI/CD에서 테스트를 실행하여 프로덕션에 도달하기 전에 취약점 차단

🚀 빠른 시작

  • Docker (실행 중)
  • 지원되는 제공업체(OpenAI, Anthropic, Google 등)의 LLM API 키

사전 요구 사항:

설치 및 첫 번째 스캔

# Strix 설치
curl -sSL https://strix.ai/install | bash

# AI 제공업체 구성
export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="your-api-key"

# 첫 번째 보안 평가 실행
strix --target./app-directory

[!NOTE]

첫 번째 실행 시 샌드박스 Docker 이미지를 자동으로 가져옵니다. 결과는 strix_runs/에 저장됩니다.


☁️ Strix 플랫폼

app.strix.ai에서 Strix 풀스택 침투 테스트 플랫폼을 사용해 보세요. 무료로 가입하고, 저장소와 도메인을 연결한 후 몇 분 안에 침투 테스트를 시작하세요.

  • PoC로 검증된 결과 - 모든 취약점에는 작동하는 개념 증명 익스플로잇 및 재현 단계가 포함됩니다.
  • 원클릭 자동 수정 - 병합 준비가 완료된 풀 리퀘스트 형태의 AI 생성 보안 패치
  • 지속적 침투 테스트 - 배포 속도에 맞춰 항상 켜져 있는 취약점 스캐닝
  • DevSecOps 통합 - GitHub, GitLab, Bitbucket, Slack, Jira, Linear 및 CI/CD 파이프라인
  • 지속적 학습 - 이전 결과를 기반으로 학습하고, 코드베이스에 적응하며, 시간이 지남에 따라 거짓 긍정을 줄이는 AI

첫 번째 침투 테스트 시작 →


✨ 기능

에이전트 기반 침투 테스트 도구

Strix 에이전트는 전문 침투 테스터 및 윤리적 해커가 사용하는 것과 동일한 포괄적인 공격 보안 도구 키트를 갖추고 있습니다:

  • HTTP 가로채기 프록시 - Caido를 통한 전체 요청/응답 조작 및 분석
  • 브라우저 익스플로잇 - XSS, CSRF, 클릭재킹 및 인증 우회 흐름 테스트를 위한 자동화된 브라우저
  • 셸 및 명령 실행 - 익스플로잇 개발 및 사후 익스플로잇을 위한 대화형 터미널
  • 커스텀 익스플로잇 런타임 - 개념 증명 익스플로잇 작성 및 검증을 위한 Python 샌드박스
  • 정찰 및 OSINT - 자동화된 공격 표면 매핑, 서브도메인 열거 및 핑거프린팅
  • 정적 및 동적 코드 분석 - 포괄적인 애플리케이션 보안 테스트를 위한 SAST + DAST 기능
  • 취약점 지식 베이스 - CVSS 점수 및 OWASP 분류가 포함된 구조화된 결과

포괄적인 취약점 스캐너

Strix는 OWASP Top 10 및 그 이상의 다양한 보안 취약점을 식별, 검증 및 익스플로잇합니다:

  • 손상된 접근 제어 - IDOR, 권한 상승, 인증 우회
  • 인젝션 공격 - SQL 인젝션, NoSQL 인젝션, OS 명령 인젝션, SSTI
  • 서버 측 취약점 - SSRF, XXE, 안전하지 않은 역직렬화, RCE
  • 클라이언트 측 공격 - XSS(저장/반사/DOM), 프로토타입 오염, CSRF
  • 비즈니스 로직 결함 - 경쟁 조건, 결제 조작, 워크플로우 우회
  • 인증 및 세션 - JWT 공격, 세션 고정, 자격 증명 스터핑 벡터
  • 인프라 및 클라우드 - 잘못된 구성, 노출된 서비스, 클라우드 보안 문제
  • API 보안 - 손상된 인증, 대량 할당, 속도 제한 우회

에이전트 그래프 (멀티 에이전트 침투 테스트)

포괄적인 자동화 침투 테스트를 위한 고급 멀티 에이전트 오케스트레이션:

  • 분산 침투 테스트 - 정찰, 익스플로잇 및 사후 익스플로잇을 위한 특화된 AI 에이전트
  • 확장 가능한 보안 테스트 - 빠르고 포괄적인 커버리지를 위한 여러 대상에 대한 병렬 실행
  • 동적 조정 - 에이전트가 발견 사항을 공유하고, 취약점을 연결하며, 레드 팀처럼 협업

사용 예제

기본 사용법

# 로컬 코드베이스 스캔
strix --target./app-directory

# GitHub 저장소 보안 검토
strix --target https://github.com/org/repo

# 블랙박스 웹 애플리케이션 평가
strix --target https://your-app.com

고급 테스트 시나리오

# 그레이박스 인증 테스트
strix --target https://your-app.com --instruction "Perform authenticated testing using credentials: user:pass"

# 다중 대상 테스트 (소스 코드 + 배포된 앱)
strix -t https://github.com/org/app -t https://your-app.com

# 화이트박스 소스 인식 스캔 (로컬 저장소)
strix --target./app-directory --scan-mode standard

# 사용자 지정 지침을 사용한 집중 테스트
strix --target api.your-app.com --instruction "Focus on business logic flaws and IDOR vulnerabilities"

# 파일을 통해 상세 지침 제공 (예: 참여 규칙, 범위, 제외 사항)
strix --target api.your-app.com --instruction-file./instruction.md

# 특정 베이스 브랜치에 대한 PR diff 범위 강제
strix -n --target./ --scan-mode quick --scope-mode diff --diff-base origin/main

헤드리스 모드

-n/--non-interactive 플래그를 사용하여 대화형 UI 없이 프로그래밍 방식으로 Strix를 실행하세요. 서버 및 자동화 작업에 적합합니다. CLI는 종료 전에 실시간 취약점 발견 사항과 최종 보고서를 출력합니다. 취약점이 발견되면 0이 아닌 종료 코드로 종료됩니다.

strix -n --target https://your-app.com

CI/CD (GitHub Actions)

Strix는 간단한 GitHub Actions 워크플로우를 통해 파이프라인에 추가하여 풀 리퀘스트에 대한 보안 테스트를 실행할 수 있습니다:

name: strix-penetration-test

on:
  pull_request:

jobs:
  security-scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v6
        with:
          fetch-depth: 0

      - name: Install Strix
        run: curl -sSL https://strix.ai/install | bash

      - name: Run Strix
        env:
          STRIX_LLM: ${{ secrets.STRIX_LLM }}
          LLM_API_KEY: ${{ secrets.LLM_API_KEY }}

        run: strix -n -t./ --scan-mode quick

[!TIP]

CI 풀 리퀘스트 실행에서 Strix는 자동으로 변경된 파일로 빠른 검토 범위를 지정합니다.

diff 범위를 확인할 수 없는 경우, 전체 기록(fetch-depth: 0)으로 체크아웃했는지 확인하거나

--diff-base를 명시적으로 전달하세요.

구성

export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="your-api-key"

# 선택 사항
export LLM_API_BASE="your-api-base-url"  # 로컬 모델(예: Ollama, LMStudio) 사용 시
export PERPLEXITY_API_KEY="your-api-key"  # 검색 기능용
export STRIX_REASONING_EFFORT="high"  # 사고 노력 제어 (기본값: high, 빠른 스캔: medium)

[!NOTE]

Strix는 구성을 ~/.strix/cli-config.json에 자동으로 저장하므로 매번 다시 입력할 필요가 없습니다.

최상의 결과를 위한 권장 모델:

  • OpenAI GPT-5.4 - openai/gpt-5.4
  • Anthropic Claude Sonnet 4.6 - anthropic/claude-sonnet-4-6
  • Google Gemini 3 Pro Preview - vertex_ai/gemini-3-pro-preview

지원되는 모든 제공업체(Vertex AI, Bedrock, Azure 및 로컬 모델 포함)에 대한 자세한 내용은 LLM 제공업체 문서를 참조하세요.

엔터프라이즈 침투 테스트

동일한 Strix 경험을 엔터프라이즈급 제어와 함께 제공합니다: SSO(SAML/OIDC), 맞춤형 규정 준수 침투 테스트 보고서(SOC 2, ISO 27001, PCI DSS), 전담 지원 및 SLA, 맞춤형 배포 옵션(VPC/자체 호스팅), BYOK 모델 지원, 환경에 최적화된 맞춤형 AI 침투 테스트 에이전트. 자세히 알아보기.

문서

전체 문서는 docs.strix.ai에서 확인할 수 있습니다. 사용법, CI/CD 통합, 스킬 및 고급 구성에 대한 자세한 가이드를 제공합니다.

커뮤니티 참여

질문이 있으신가요? 버그를 발견하셨나요? 기여하고 싶으신가요? Discord에 참여하세요!

프로젝트 지원

Strix가 마음에 드시나요? GitHub에서 ⭐를 눌러주세요!

원본 저장소: usestrix/strix

라이선스: Apache-2.0

게재 제외를 원하시면 삭제 요청을 보내주세요.