截至 2026 年 7 月。本文為開源資安工具的中性技術介紹,示範情境限「測試你自己擁有或已獲授權的系統」。功能與定價以官方 GitHub 為準,不構成投資或消費建議。
過去要幫一個網站做滲透測試(找出可被攻擊的漏洞),得請資安工程師手動一項一項試,貴又慢。最近 GitHub 上一個叫 strix 的開源專案,把這件事交給 AI agent 來做——而且它不只「掃一掃報個分數」,是真的動手驗證、跑出可用的攻擊概念驗證(PoC)證明漏洞存在。
目前約 29,200 顆星、Apache-2.0 授權,是這陣子資安圈很熱的開源工具。這篇幫你把它是什麼、怎麼用、以及使用前一定要搞懂的界線講清楚。
strix 是什麼?
白話講:它是一群「會自己動手的 AI 滲透測試員」。你給它一個目標(你自己的網站或一份程式碼),它會自動做偵察、嘗試攻擊、然後用真實的 PoC 驗證漏洞是不是真的能被打——而不是像傳統靜態掃描那樣只憑規則猜。跑完還會給你修補建議和合規報告。
⚠️ 使用前必讀的界線:官方明文寫著「只能測試你自己擁有、或已取得授權的應用」。未經授權去掃別人的網站,在多數國家(含台灣)都可能觸法。這類工具的正當用途是:測自己的專案、公司內部授權的資產、或有書面授權的滲透測試委託。責任在使用者自己。
核心功能
- 完整滲透測試流程:偵察、利用、驗證一條龍。
- 多 agent 協作:多個 AI 滲透測試員分工合作。
- 真實 PoC 驗證:用可運作的攻擊證明漏洞存在,減少誤報。
- OWASP Top 10 全面偵測:涵蓋最常見的十大 Web 漏洞。
- 開發者友善:CLI 操作、附修補建議、可產合規報告、能自動修。
- CI/CD 與 GitHub Actions 整合:塞進開發流程裡持續掃。
怎麼裝、怎麼跑
前提:要有 Docker 在跑,以及一組支援的 LLM API key(OpenAI、Anthropic、Google 等都行)。
- 安裝:
curl -sSL https://strix.ai/install | bash - 設定要用的模型與金鑰:
export STRIX_LLM="openai/gpt-5.4"export LLM_API_KEY="你的-api-key" - 對你自己的目標跑掃描:
strix --target ./你的專案目錄
或針對你擁有的站:strix --target https://your-app.com
(加-n是無介面 headless 模式)
小提醒:因為每一步都要呼叫 LLM,跑一輪完整掃描會消耗不少 token。想控管跨供應商的 API 成本,可以搭配 OmniRoute 這類 AI gateway 來壓 token、輪替免費額度。
要錢嗎?
開源 CLI 本身免費(Apache-2.0)。真正的成本是你自己那組 LLM API key 的用量——跑得越多、掃得越深,token 花得越多。官方另有一個 Strix Platform(app.strix.ai)提供免費註冊與企業方案,那是另外的託管服務。
適合誰?不適合誰?
- ✅ 適合:想在上線前先自我體檢的獨立開發者、小團隊;想把資安掃描塞進 CI/CD 的工程團隊;學資安、想看 AI 怎麼做滲透測試的人。
- ❌ 不適合:想拿去掃別人網站的人(違法,別碰);完全不懂終端機、Docker 的純新手;需要人工資深顧問把關的高合規場景(工具是輔助、不是取代專業)。
常見問題 FAQ
可以拿來掃我不擁有的網站嗎?
不行。官方明文限定「你擁有或已授權」的目標,未經授權掃描他人系統可能觸犯法律。這是紅線,別踩。
它能取代資安工程師嗎?
目前比較實際的定位是「放大器」——幫你把常見漏洞快速掃一遍、產出 PoC 和報告,省掉大量重複工。但深度判斷、業務邏輯漏洞、以及最終的風險決策,還是需要人。
跑一次要花多少錢?
工具免費,但會吃你的 LLM API 用量,實際金額看目標大小和掃描深度。想省,可搭配 AI gateway 壓 token。
免責聲明:本文為開源資安工具的中性資訊整理,僅供在合法授權範圍內的自我測試與學習參考。任何未經授權的滲透測試或攻擊行為,責任由行為人自負,與本站無關。數據以官方 GitHub 為準,可能隨版本變動;內容不構成投資或技術採用建議。






發表迴響