截至 2026 年 7 月。本文為開源資安工具的中性技術介紹,示範情境限「測試你自己擁有或已獲授權的系統」。功能與定價以官方 GitHub 為準,不構成投資或消費建議。

過去要幫一個網站做滲透測試(找出可被攻擊的漏洞),得請資安工程師手動一項一項試,貴又慢。最近 GitHub 上一個叫 strix 的開源專案,把這件事交給 AI agent 來做——而且它不只「掃一掃報個分數」,是真的動手驗證、跑出可用的攻擊概念驗證(PoC)證明漏洞存在。

目前約 29,200 顆星、Apache-2.0 授權,是這陣子資安圈很熱的開源工具。這篇幫你把它是什麼、怎麼用、以及使用前一定要搞懂的界線講清楚。

strix 是什麼?

白話講:它是一群「會自己動手的 AI 滲透測試員」。你給它一個目標(你自己的網站或一份程式碼),它會自動做偵察、嘗試攻擊、然後用真實的 PoC 驗證漏洞是不是真的能被打——而不是像傳統靜態掃描那樣只憑規則猜。跑完還會給你修補建議和合規報告。

⚠️ 使用前必讀的界線:官方明文寫著「只能測試你自己擁有、或已取得授權的應用」。未經授權去掃別人的網站,在多數國家(含台灣)都可能觸法。這類工具的正當用途是:測自己的專案、公司內部授權的資產、或有書面授權的滲透測試委託。責任在使用者自己。

核心功能

  • 完整滲透測試流程:偵察、利用、驗證一條龍。
  • 多 agent 協作:多個 AI 滲透測試員分工合作。
  • 真實 PoC 驗證:用可運作的攻擊證明漏洞存在,減少誤報。
  • OWASP Top 10 全面偵測:涵蓋最常見的十大 Web 漏洞。
  • 開發者友善:CLI 操作、附修補建議、可產合規報告、能自動修。
  • CI/CD 與 GitHub Actions 整合:塞進開發流程裡持續掃。

怎麼裝、怎麼跑

前提:要有 Docker 在跑,以及一組支援的 LLM API key(OpenAI、Anthropic、Google 等都行)。

  1. 安裝
    curl -sSL https://strix.ai/install | bash
  2. 設定要用的模型與金鑰
    export STRIX_LLM="openai/gpt-5.4"
    export LLM_API_KEY="你的-api-key"
  3. 對你自己的目標跑掃描
    strix --target ./你的專案目錄
    或針對你擁有的站:strix --target https://your-app.com
    (加 -n 是無介面 headless 模式)

小提醒:因為每一步都要呼叫 LLM,跑一輪完整掃描會消耗不少 token。想控管跨供應商的 API 成本,可以搭配 OmniRoute 這類 AI gateway 來壓 token、輪替免費額度。

要錢嗎?

開源 CLI 本身免費(Apache-2.0)。真正的成本是你自己那組 LLM API key 的用量——跑得越多、掃得越深,token 花得越多。官方另有一個 Strix Platform(app.strix.ai)提供免費註冊與企業方案,那是另外的託管服務。

適合誰?不適合誰?

  • 適合:想在上線前先自我體檢的獨立開發者、小團隊;想把資安掃描塞進 CI/CD 的工程團隊;學資安、想看 AI 怎麼做滲透測試的人。
  • 不適合:想拿去掃別人網站的人(違法,別碰);完全不懂終端機、Docker 的純新手;需要人工資深顧問把關的高合規場景(工具是輔助、不是取代專業)。

常見問題 FAQ

可以拿來掃我不擁有的網站嗎?

不行。官方明文限定「你擁有或已授權」的目標,未經授權掃描他人系統可能觸犯法律。這是紅線,別踩。

它能取代資安工程師嗎?

目前比較實際的定位是「放大器」——幫你把常見漏洞快速掃一遍、產出 PoC 和報告,省掉大量重複工。但深度判斷、業務邏輯漏洞、以及最終的風險決策,還是需要人。

跑一次要花多少錢?

工具免費,但會吃你的 LLM API 用量,實際金額看目標大小和掃描深度。想省,可搭配 AI gateway 壓 token。

免責聲明:本文為開源資安工具的中性資訊整理,僅供在合法授權範圍內的自我測試與學習參考。任何未經授權的滲透測試或攻擊行為,責任由行為人自負,與本站無關。數據以官方 GitHub 為準,可能隨版本變動;內容不構成投資或技術採用建議。

關於Mr. Slash

「Mr. Slash 的系統性人生」,創立於 2024年,由 Mr. Slash 本人及專業編輯團隊經營的財經內容平台。

我們的宗旨是透過投資、財經、自動化與新興科技等領域的深入解說與應用,幫助讀者打造穩定的被動收入系統。內容涵蓋加密貨幣、股息資產、量化工具、平台分潤等實用策略,協助你用更聰明的方法配置資金、累積資產,走在財務自由的路上,少走冤枉路。

若為商業合作邀稿,將會清楚標註「不代表本站立場」。

商業合作

如果您有任何關於我們團隊或網站內容的疑問或建議,歡迎您前往IG 私訊 @slash.Capital聯繫我們,謝謝!

عن Mr. Slash

«Mr. Slash» منصة محتوى مالي تأسست عام 2024، يديرها فريق تحرير متخصص. نقدّم للقارئ العربي شروحات عملية ومحايدة عن العملات الرقمية وطرق الشراء والإيداع والسحب المحلية في السعودية ومصر والخليج.

هدفنا مساعدتك على فهم السوق واختيار منصة تداول موثوقة وتقليل الرسوم. نحن لا نقدّم نصيحة استثمارية والقرار النهائي يبقى لك؛ وفي حال التعاون التجاري يُوضَّح ذلك صراحةً ولا يمثّل رأي الموقع.

تواصل وتعاون تجاري

لأي استفسار أو اقتراح أو تعاون، تواصل معنا عبر إنستغرام @slash.Capital. شكرًا لك!

發表迴響

相關文章

مقالات ذات صلة

Trending

探索更多來自 Mr. Slash|系統流人生 的內容

立即訂閱即可持續閱讀,還能取得所有封存文章。

繼續閱讀

خصم دائم على الرسوم سجّل في OKX مجاناً ←
Join Mr. Slash