- Ein Open-Source-Sicherheitstest-Tool im Stil eines autonomen KI-Agenten, das wie ein echter Hacker Code direkt ausführt, Schwachstellen findet und sie anschließend mit echten PoCs (Proof of Concept) verifiziert
- Unterstützt die Integration in CI/CD-Pipelines und GitHub Actions, sodass bei jedem PR automatisch Sicherheitsscans ausgeführt werden und verwundbarer Code blockiert werden kann, bevor er in die Produktion gelangt
- Zu den erkennbaren Schwachstellentypen gehören verschiedene Kategorien wie IDOR, Rechteausweitung, SQL Injection, SSRF, XSS, JWT-Schwachstellen und Infrastruktur-Fehlkonfigurationen
- Führt umfassende Tests mit einer Graph-of-Agents-Struktur durch, in der mehrere Agenten zusammenarbeiten und verteilte Workflows, parallele Ausführung und dynamische Kollaboration ermöglichen
- Bringt standardmäßig Tools mit, die einem echten Hacker-Toolkit entsprechen, darunter vollständiger HTTP-Proxy, Browser-Automatisierung, Terminal-Umgebung, Python-Runtime, OSINT-Aufklärung und Code-Analyse
- Unterstützt verschiedene Zielformen wie lokale Codebasen (
./app-directory), GitHub-Repository-URLs und URLs bereitgestellter Web-Apps
- Kann im Headless-Modus (
-n) nicht interaktiv auf Servern und in Automatisierungsumgebungen ausgeführt werden und blockiert bei gefundenen Schwachstellen die Pipeline mit einem Fehlercode
- Empfohlene LLMs: OpenAI GPT-5.4, Anthropic Claude Sonnet 4.6, Google Gemini 3 Pro Preview; alle wichtigen Provider werden unterstützt
- Auf der Cloud-Plattform (app.strix.ai) werden zusätzlich automatische One-Click-Behebungen (in Form von PRs), kontinuierliches Monitoring sowie Integrationen mit GitHub, Slack, Jira und Linear angeboten
- Apache-2.0-Lizenz / Python
1 Kommentare
Ich habe das Gefühl, dass es bald mehr Code für Sicherheitsmaßnahmen als für die eigentliche Programmentwicklung geben wird?!