- Gerçek bir hacker gibi kodu doğrudan çalıştıran, açıkları bulan ve ardından bunları gerçek PoC (kavram kanıtı) ile doğrulayan, otonom AI ajanı yaklaşımına sahip açık kaynaklı bir güvenlik test aracı
- CI/CD pipeline'ı ve GitHub Actions entegrasyonu desteği sunar; böylece her PR'da otomatik güvenlik taraması yapabilir ve zafiyetli kodun prodüksiyona dağıtılmadan önce engellenmesini sağlar
- Tespit edilebilen zafiyet türleri arasında IDOR, yetki yükseltme, SQL injection, SSRF, XSS, JWT zafiyetleri, altyapı yanlış yapılandırmaları gibi çeşitli kategoriler bulunur
- Birden fazla ajanın birlikte çalıştığı Graph of Agents yapısıyla dağıtık workflow, paralel yürütme ve dinamik iş birliği üzerinden kapsamlı testler gerçekleştirir
- Full HTTP Proxy, tarayıcı otomasyonu, terminal ortamı, Python runtime, OSINT keşfi, kod analizi gibi gerçek bir hacker araç setine denk düşen araçları varsayılan olarak içerir
- Yerel codebase (
./app-directory), GitHub repository URL'si, dağıtılmış web uygulaması URL'si gibi farklı hedef biçimlerini destekler
- Headless (
-n) moduyla sunucu ve otomasyon ortamlarında etkileşimsiz çalıştırma mümkündür; zafiyet bulunduğunda anormal çıkış koduyla pipeline'ı durdurur
- Önerilen LLM'ler: OpenAI GPT-5.4, Anthropic Claude Sonnet 4.6, Google Gemini 3 Pro Preview; ayrıca tüm büyük sağlayıcıları destekler
- Cloud platformu (app.strix.ai) üzerinde tek tıkla otomatik düzeltme (PR biçiminde), sürekli izleme ve GitHub, Slack, Jira, Linear entegrasyonları da sunulur
- Apache-2.0 lisansı / Python
1 yorum
Program geliştirmeden çok, güvenlik işlemleri için yazılan kodların giderek daha da artacakmış gibi hissettiriyor?!