- Công cụ kiểm thử bảo mật mã nguồn mở hoạt động theo cách của tác nhân AI tự trị, trực tiếp chạy mã như một hacker thực thụ, phát hiện lỗ hổng rồi xác minh bằng PoC (proof of concept) thực tế
- Hỗ trợ tích hợp CI/CD pipeline và GitHub Actions, cho phép tự động quét bảo mật ở mỗi PR và chặn mã dễ bị tấn công trước khi được triển khai lên production
- Các loại lỗ hổng có thể phát hiện bao gồm nhiều danh mục như IDOR, leo thang đặc quyền, SQL injection, SSRF, XSS, lỗ hổng JWT, cấu hình hạ tầng sai
- Thực hiện kiểm thử toàn diện thông qua cấu trúc Graph of Agents nơi nhiều tác nhân phối hợp với nhau, hỗ trợ workflow phân tán, thực thi song song và cộng tác động
- Tích hợp sẵn các công cụ tương đương bộ toolkit của hacker thực tế như Full HTTP Proxy, tự động hóa trình duyệt, môi trường terminal, Python runtime, trinh sát OSINT, phân tích mã
- Hỗ trợ nhiều dạng mục tiêu khác nhau như codebase cục bộ (
./app-directory), URL kho lưu trữ GitHub, URL ứng dụng web đã triển khai
- Có thể chạy không tương tác trong môi trường server và tự động hóa với chế độ headless (
-n), đồng thời chặn pipeline bằng mã thoát lỗi khi phát hiện lỗ hổng
- LLM được khuyến nghị: OpenAI GPT-5.4, Anthropic Claude Sonnet 4.6, Google Gemini 3 Pro Preview và hỗ trợ đầy đủ các nhà cung cấp lớn
- Trên nền tảng đám mây (app.strix.ai), cung cấp thêm tự động vá lỗi bằng một cú nhấp (dạng PR), giám sát liên tục, tích hợp GitHub, Slack, Jira, Linear
- Giấy phép Apache-2.0 / Python
1 bình luận
Có cảm giác rằng rồi đây lượng mã xử lý bảo mật sẽ ngày càng nhiều hơn cả việc phát triển chương trình sao?!