OSI-openComputer-Use und autonome Agents

strix

usestrix

Framework autonomer 'KI-Hacker'-Agents für dynamische Anwendungssicherheitstests.

25.9k Stars(Stand 2026-06-07)Auf GitHub ansehen

Überblick

Was ist strix?

Ein Framework autonomer 'KI-Hacker'-Agents, die eine Anwendung dynamisch testen, so wie es ein Pentester täte. Jeder Agent bekommt ein volles Toolkit (HTTP-Proxy, Playwright-Browser, Terminal, Python-Runtime, Recon) und meldet validierte Proof-of-Concepts für Probleme wie IDOR, SQL- und Command-Injection, SSRF, XSS, Auth- und JWT-Fehler sowie Business-Logik-Bugs. Es läuft lokal (Python 3.12+, eine Docker-Sandbox, strix --target ...) und braucht einen externen LLM-Key.

Analyse

Vor- & Nachteile

Pros

Validiert Befunde mit echten Proof-of-Concepts statt Signatur-Treffern, was laut Projekt False Positives reduziert (eigene Angabe)
Breite Tool- und Schwachstellen-Abdeckung out-of-the-box, mit Multi-Agent-Orchestrierung
Apache-2.0, lokale Ausführung, CI/CD-Integration und Provider-agnostische LLM-Unterstützung

Cons

PyPI markiert es als Development-Status Alpha trotz des 'v1.0'-Tags, behandle produktive Security-Gates mit Vorsicht
'KI-Hacker' und 'zero false positives' sind Projektangaben; autonome Offensiv-Tools brauchen weiterhin menschliche Validierung, und du darfst nur eigene oder freigegebene Systeme testen
Agentische Pentests verbrauchen viele Tokens (laufende LLM-Kosten, vom Projekt nicht beziffert) und brauchen Docker

Lizenz

Apache-2.0 (OSI-open)

Wann interessant

Entwickler, die kontinuierliche, PoC-gestützte Security-Tests selbst hosten wollen.

Wann zu früh

als unbeaufsichtigtes produktives Gate, angesichts des Alpha-Status. Strix hat eine eigene kommerzielle Cloud (das offene Projekt ist die Lead-Gen-Schicht), aber wir fanden kein Affiliate-Programm; das etablierte AppSec-Gegenstück ist Snyk.

Kontext