安全团队知道,应用程序缺陷往往会在最坏的时候出现。Strix通过使用像人类攻击者一样行为的自主代理,将自己呈现为一种更早地捕捉他们的开源方式。这些代理运行代码,探索应用程序,发现弱点,并用工作概念证明来证明这些发现。
Strix将黑客风格的工具包打包到一个可以单独或组内运行的自动化系统中。它的代理一起工作,并在他们通过应用程序时调整他们的任务。每个人都带来了不同的技能,平台组织了他们的工作,以便他们可以分享他们学到的东西。
该系统通过HTTP代理执行请求和响应操作,驱动浏览器探索客户端路径,如XSS或CSRF,启动命令测试的终端会话,并为自定义漏洞开发提供Python环境。它还通过扫描暴露的资产和绘制攻击表面来处理侦察。代码分析用于静态和动态审查,结果以结构化格式存储,帮助团队跟踪攻击序列中发生的事情。
检测覆盖范围涵盖常见类别,包括访问控制缺陷、多种形式的注入、服务器端弱点、客户端问题(包括原型污染和DOM问题)、竞争条件等业务逻辑错误以及会话处理中断或JWT弱点等身份验证问题。该系统还可以拾取基础设施配置错误或暴露的服务。
Strix使用图形模型将代理排列到工作流程中。该平台将专业代理分配给不同的目标,然后并行执行他们的任务。当代理发现新信息时,其他人会调整他们的工作来探索新的路径。这旨在在更短的窗口内扩大测试覆盖范围。
团队可以使用Strix来查找和确认其应用程序中的高风险漏洞,在更紧凑的时间表上运行渗透测试风格评估,自动化错误赏金风格研究等。该工具的报告旨在通过指出用于触发缺陷的确切概念证明来指导补救。
Strix在GitHub上免费提供。
原文链接地址:https://www.helpnetsecurity.com/2025/11/17/strix-open-source-ai-agents-penetration-testing/
暂无评论内容