AIハッカーがあなたのアプリの脆弱性を自動で発見・修正！ — strix

usestrix/strixPython22.0k

Strixは、AI（人工知能）を使ってアプリやウェブサイトのセキュリティの弱点（脆弱性）を自動的に見つけ出し、修正まで行ってくれるオープンソースのツールです。本物のハッカーのように実際にコードを動かしてテストし、「ここが危ない」という証拠（PoC＝概念実証）付きで報告してくれるため、誤検知が少ないのが特徴です。複数のAIエージェント（自律的に動くAIプログラム）がチームを組んで協力しながら、SQLインジェクションやXSSなど幅広い種類の攻撃パターンを検証します。開発者やセキュリティ担当者が、これまで数週間かかっていたセキュリティテストを数時間で完了できるようになります。GitHub ActionsなどのCI/CD（コード変更時に自動テストする仕組み）にも組み込めるので、危険なコードが本番環境に出る前にブロックできます。

🔥 なぜ話題？

AIエージェントが自律的にタスクをこなす技術トレンドとサイバーセキュリティの重要性の高まりが重なり、『AIが自動でペネトレーションテスト（侵入テスト）を行う』という実用的な組み合わせが大きな注目を集めています。特にCI/CDパイプラインに簡単に統合でき、開発ワークフローに自然に組み込める手軽さが話題です。

💡 こう使える！

例えば、チームで開発しているWebアプリに新しいAPIを追加するプルリクエストを出したとき、Strixが自動でそのコードをスキャンして「このAPIには認証チェックが不足しており、他人のデータを不正に取得できてしまう」と具体的な攻撃手順つきで警告し、修正用のコードまで提案してくれます。

ユースケース: 自社のWebアプリやAPIに潜むセキュリティの弱点を、AIに自動で発見・検証・修正提案してもらう

AIエージェントが本物のハッカーのように実際にコードを動かして脆弱性を検証し、証拠付きで報告
GitHub ActionsやCI/CDパイプラインに組み込んで、プルリクエストごとに自動セキュリティテストが可能
OpenAI・Anthropic・Googleなど複数のAIプロバイダーに対応し、ローカルモデルも使える

GitHubで見る →

Open-source AI hackers to find and fix your app’s vulnerabilities.

技術情報

言語

Python

ライセンス

Apache-2.0

最終更新

2026-03-25

スター数

21,968

フォーク数

2,318

Issue数

トピック

agentsartificial-intelligencecybersecuritygenerative-aillmpenetration-testing

技術詳細

アーキテクチャ・仕組み

Strixは「Graph of Agents」と呼ばれるマルチエージェントアーキテクチャを採用しています。複数の専門化されたAIエージェントが異なる攻撃手法やアセットを担当し、並列実行しながら発見を共有・連携します。

動的テスト: 静的解析だけでなく、実際にコードを実行してエクスプロイト（攻撃コード）を動かし、脆弱性を検証
サンドボックス環境: Dockerコンテナ内で安全にテストを実行

セキュリティツールキット

フルHTTPプロキシ: リクエスト/レスポンスの操作と分析
ブラウザ自動化: XSS、CSRF、認証フローのテスト用マルチタブブラウザ（Playwright使用）
ターミナル環境: コマンド実行用のインタラクティブシェル
Python実行環境: カスタムエクスプロイトの開発と検証
偵察（Reconnaissance）: OSINT（公開情報調査）とアタックサーフェスマッピング
コード分析: 静的・動的解析

検出可能な脆弱性

アクセス制御（IDOR、権限昇格、認証バイパス）
インジェクション攻撃（SQL、NoSQL、コマンドインジェクション）
サーバーサイド（SSRF、XXE、デシリアライゼーション欠陥）
クライアントサイド（XSS、プロトタイプ汚染、DOM脆弱性）
ビジネスロジック（レースコンディション、ワークフロー操作）
認証（JWT脆弱性、セッション管理）
インフラ（設定ミス、公開サービス）

対応LLMプロバイダー

OpenAI（推奨: gpt-5.4）
Anthropic（推奨: claude-sonnet-4-6）
Google Vertex AI（推奨: gemini-3-pro-preview）
AWS Bedrock、Azure OpenAI
ローカルモデル（Ollama、LMStudioなど、LLM_API_BASE環境変数で指定）

スキャンモード

# 基本スキャン（ローカルコード）
strix --target ./app-directory

# GitHubリポジトリを直接指定
strix --target https://github.com/org/repo

# ブラックボックステスト（デプロイ済みWebアプリ）
strix --target https://your-app.com

# 認証付きグレーボックステスト
strix --target https://your-app.com --instruction "Perform authenticated testing using credentials: user:pass"

# 複数ターゲットの同時テスト
strix -t https://github.com/org/app -t https://your-app.com

# ヘッドレスモード（CI/CD向け、脆弱性発見時に非ゼロ終了コード）
strix -n --target https://your-app.com

設定オプション

環境変数	説明
`STRIX_LLM`	使用するLLMモデル
`LLM_API_KEY`	LLMプロバイダーのAPIキー
`LLM_API_BASE`	ローカルモデル用のAPIベースURL
`PERPLEXITY_API_KEY`	検索機能用APIキー
`STRIX_REASONING_EFFORT`	推論の深さ（high/medium）

設定は ~/.strix/cli-config.json に自動保存されます。

プラットフォーム版（app.strix.ai）

ワンクリックの自動修正（マージ可能なPR生成）
GitHub、Slack、Jira、Linear、CI/CDパイプラインとの連携
コード・クラウド・インフラ全体の継続的監視
過去の発見と修正に基づく継続学習

エンタープライズ版

SSO（SAML/OIDC）、カスタムコンプライアンスレポート、VPC/セルフホスト、BYOK（自前のモデル鍵）対応、SLA付きサポート

依存プロジェクト

LiteLLM、Caido、Nuclei、Playwright、Textualなどのオープンソースプロジェクトを活用

ライセンス

Apache License 2.0（商用利用可能）

注意事項

自分が所有する、またはテスト許可を得たアプリケーションに対してのみ使用すること。倫理的・法的な責任はユーザーにあります。

インストール・クイックスタート

インストールと初回スキャン

前提条件:

Dockerが動作していること
OpenAI、Anthropic、Googleなどの対応LLMプロバイダーのAPIキー

# Strixをインストール
curl -sSL https://strix.ai/install | bash

# AIプロバイダーを設定
export STRIX_LLM="openai/gpt-5.4"
export LLM_API_KEY="your-api-key"

# 初回セキュリティスキャンを実行
strix --target ./app-directory

初回実行時にサンドボックス用のDockerイメージが自動でダウンロードされます。結果は strix_runs/<run-name> に保存されます。

AIハッカーがあなたのアプリの脆弱性を自動で発見・修正！ — strix

技術情報

技術詳細

アーキテクチャ・仕組み

セキュリティツールキット

検出可能な脆弱性

対応LLMプロバイダー

スキャンモード

設定オプション

プラットフォーム版（app.strix.ai）

エンタープライズ版

依存プロジェクト

ライセンス

注意事項

インストール・クイックスタート

インストールと初回スキャン

参考になる外部の関連記事

関連リポジトリ