strix - แฮ็กเกอร์ AI โอเพนซอร์สที่ค้นหาและแก้ไขช่องโหว่ของแอป
(github.com/usestrix)- เครื่องมือทดสอบความปลอดภัยแบบโอเพนซอร์สที่ทำงานในรูปแบบ เอเจนต์ AI อัตโนมัติ โดยสามารถรันโค้ดได้โดยตรงเหมือนแฮ็กเกอร์จริง ค้นหาช่องโหว่ และยืนยันด้วย PoC (การพิสูจน์แนวคิด) จริง
- รองรับ การผสานรวมกับ CI/CD pipeline และ GitHub Actions เพื่อสแกนความปลอดภัยอัตโนมัติในทุก PR และบล็อกโค้ดที่มีช่องโหว่ก่อนถูกนำขึ้นโปรดักชัน
- ประเภทช่องโหว่ที่ตรวจจับได้ครอบคลุมหลายหมวดหมู่ เช่น IDOR, การยกระดับสิทธิ์, SQL Injection, SSRF, XSS, ช่องโหว่ JWT, การตั้งค่าโครงสร้างพื้นฐานผิดพลาด เป็นต้น
- ใช้สถาปัตยกรรม Graph of Agents ที่มีเอเจนต์หลายตัวทำงานร่วมกัน เพื่อทดสอบได้อย่างครอบคลุมผ่านเวิร์กโฟลว์แบบกระจาย การประมวลผลแบบขนาน และความร่วมมือแบบไดนามิก
- มาพร้อมเครื่องมือพื้นฐานที่เทียบได้กับชุดเครื่องมือของแฮ็กเกอร์จริง เช่น Full HTTP Proxy, การทำงานอัตโนมัติบนเบราว์เซอร์, สภาพแวดล้อมเทอร์มินัล, Python runtime, การสืบค้น OSINT, การวิเคราะห์โค้ด
- รองรับเป้าหมายได้หลายรูปแบบ เช่น โค้ดเบสในเครื่อง (
./app-directory), URL ของ GitHub repository และ URL ของเว็บแอปที่ดีพลอยแล้ว - รองรับโหมด headless (
-n) เพื่อรันแบบไม่โต้ตอบในเซิร์ฟเวอร์และสภาพแวดล้อมอัตโนมัติได้ และจะส่งรหัสจบการทำงานผิดปกติเมื่อพบช่องโหว่เพื่อหยุด pipeline - LLM ที่แนะนำ: OpenAI GPT-5.4, Anthropic Claude Sonnet 4.6, Google Gemini 3 Pro Preview และยังรองรับผู้ให้บริการหลักรายอื่นทั้งหมด
- บนคลาวด์แพลตฟอร์ม (app.strix.ai) ยังมี การแก้ไขอัตโนมัติแบบคลิกเดียว (ในรูปแบบ PR), การมอนิเตอร์ต่อเนื่อง และการเชื่อมต่อกับ GitHub, Slack, Jira, Linear เพิ่มเติม
- ใบอนุญาต Apache-2.0 / Python
1 ความคิดเห็น
รู้สึกว่าโค้ดสำหรับจัดการความปลอดภัยจะค่อย ๆ มีมากขึ้นกว่าโค้ดพัฒนาโปรแกรมเสียอีก?!