<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>CLI工具 on KnightLi的博客</title>
        <link>https://knightli.com/zh-tw/tags/cli%E5%B7%A5%E5%85%B7/</link>
        <description>Recent content in CLI工具 on KnightLi的博客</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh-tw</language>
        <lastBuildDate>Thu, 02 Jul 2026 08:27:37 +0800</lastBuildDate><atom:link href="https://knightli.com/zh-tw/tags/cli%E5%B7%A5%E5%85%B7/index.xml" rel="self" type="application/rss+xml" /><item>
        <title>Strix 介紹：用 AI Agent 做自動化滲透測試和漏洞修復</title>
        <link>https://knightli.com/zh-tw/2026/07/02/strix-ai-pentesting-tool-guide/</link>
        <pubDate>Thu, 02 Jul 2026 08:27:37 +0800</pubDate>
        
        <guid>https://knightli.com/zh-tw/2026/07/02/strix-ai-pentesting-tool-guide/</guid>
        <description>&lt;p&gt;&lt;a class=&#34;link&#34; href=&#34;https://github.com/usestrix/strix&#34;  target=&#34;_blank&#34; rel=&#34;noopener&#34;
    &gt;Strix&lt;/a&gt; 是一個開源 AI 滲透測試工具。它的定位不是傳統靜態掃描器，而是一組可以動態運行代碼、探索攻擊面、嘗試利用並驗證漏洞的 AI pentesting agents。項目 README 對它的描述很直接：用類似真實黑客的方式發現並修復應用漏洞。&lt;/p&gt;
&lt;p&gt;這類工具最適合開發團隊、安全團隊和 DevSecOps 流程使用：在本地代碼庫、GitHub 倉庫、Web 應用或 CI/CD 中運行測試，儘早發現高風險問題，並把漏洞復現、修復建議甚至補丁生成串起來。&lt;/p&gt;
&lt;p&gt;需要先強調邊界：Strix 只能用於你擁有或明確獲得授權的應用、倉庫和域名。不要把它用於未授權目標。滲透測試工具的價值在於幫助防禦和修復，而不是繞過授權。&lt;/p&gt;
&lt;h2 id=&#34;strix-解決什麼問題&#34;&gt;Strix 解決什麼問題
&lt;/h2&gt;&lt;p&gt;傳統安全檢測常見兩類痛點：靜態掃描誤報多，人工滲透測試周期長。Strix 想做的是把 AI Agent、動態執行環境和滲透測試工具鏈結合起來，讓安全檢查更接近真實攻擊路徑。&lt;/p&gt;
&lt;p&gt;它的核心能力包括：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;內置滲透測試工具鏈：偵察、利用、驗證等步驟開箱可用。&lt;/li&gt;
&lt;li&gt;多 Agent 編排：多個 AI 滲透測試 Agent 可以分工協作。&lt;/li&gt;
&lt;li&gt;真實漏洞驗證：強調可運行的 PoC，而不是隻給靜態告警。&lt;/li&gt;
&lt;li&gt;面向開發者的 CLI：輸出可執行的發現、復現步驟和修復建議。&lt;/li&gt;
&lt;li&gt;自動修復和報告：生成補丁以及適合合規場景的滲透測試報告。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;換句話說，Strix 不只是告訴你“這裡可能有問題”，而是儘量回答三個更關鍵的問題：問題能不能被利用、怎麼復現、應該怎麼修。&lt;/p&gt;
&lt;h2 id=&#34;適用場景&#34;&gt;適用場景
&lt;/h2&gt;&lt;p&gt;Strix 的 README 給出的典型場景包括：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Application Security Testing：檢測並驗證應用中的關鍵漏洞。&lt;/li&gt;
&lt;li&gt;Rapid Penetration Testing：把滲透測試周期從幾周壓縮到更短時間，並生成報告。&lt;/li&gt;
&lt;li&gt;Bug Bounty Automation：輔助漏洞賞金研究，生成 PoC 和復現材料。&lt;/li&gt;
&lt;li&gt;CI/CD Integration：在 pull request 或部署流水線中運行安全測試，阻止高風險代碼進入生產環境。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;如果團隊已經有 SAST、依賴掃描和容器掃描，Strix 可以作為動態驗證層補充進來。它更適合發現“實際能打通”的路徑，例如訪問控制繞過、業務邏輯缺陷、身份認證問題、XSS、SSRF、SQL 注入、API 濫用等。&lt;/p&gt;
&lt;h2 id=&#34;安裝前準備&#34;&gt;安裝前準備
&lt;/h2&gt;&lt;p&gt;運行 Strix 前需要準備兩類東西：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Docker，並確保 Docker 正在運行。&lt;/li&gt;
&lt;li&gt;一個受支持 LLM Provider 的 API Key，例如 OpenAI、Anthropic、Google 等。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;第一次運行時，Strix 會自動拉取 sandbox Docker image。掃描結果會保存到：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix_runs/&amp;lt;run-name&amp;gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;這意味著它不是單純讀取文件後立刻輸出結論，而是會在沙箱環境裡做動態測試和驗證。生產項目使用前，建議先在測試倉庫或 staging 環境裡跑一遍，確認範圍、成本、耗時和輸出格式。&lt;/p&gt;
&lt;h2 id=&#34;安裝與首次掃描&#34;&gt;安裝與首次掃描
&lt;/h2&gt;&lt;p&gt;README 給出的安裝方式是直接執行官方安裝腳本：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;curl -sSL https://strix.ai/install &lt;span class=&#34;p&#34;&gt;|&lt;/span&gt; bash
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;安裝後配置 AI Provider。示例使用 OpenAI：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;2
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nb&#34;&gt;export&lt;/span&gt; &lt;span class=&#34;nv&#34;&gt;STRIX_LLM&lt;/span&gt;&lt;span class=&#34;o&#34;&gt;=&lt;/span&gt;&lt;span class=&#34;s2&#34;&gt;&amp;#34;openai/gpt-5.4&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nb&#34;&gt;export&lt;/span&gt; &lt;span class=&#34;nv&#34;&gt;LLM_API_KEY&lt;/span&gt;&lt;span class=&#34;o&#34;&gt;=&lt;/span&gt;&lt;span class=&#34;s2&#34;&gt;&amp;#34;your-api-key&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;然後對本地應用目錄運行第一次安全評估：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix --target ./app-directory
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;如果你更關注一個遠程倉庫，也可以把目標換成 GitHub URL：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix --target https://github.com/org/repo
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;如果要做黑盒 Web 應用測試，可以直接指定 URL：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix --target https://your-app.com
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;這三個入口分別對應本地代碼庫、遠程代碼倉庫和線上應用。實際使用時，不要一次把範圍放得過大。先從單個服務、單個倉庫或 staging 域名開始，更容易控制測試噪音和成本。&lt;/p&gt;
&lt;h2 id=&#34;進階掃描方式&#34;&gt;進階掃描方式
&lt;/h2&gt;&lt;p&gt;Strix 支持給 Agent 添加額外指令，適合灰盒測試、帶賬號測試、業務邏輯測試和限定範圍測試。&lt;/p&gt;
&lt;p&gt;例如帶認證信息做灰盒測試：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix --target https://your-app.com --instruction &lt;span class=&#34;s2&#34;&gt;&amp;#34;Perform authenticated testing using credentials: user:pass&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;同時測試源碼和部署後的應用：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix -t https://github.com/org/app -t https://your-app.com
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;對本地倉庫做源碼感知掃描：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix --target ./app-directory --scan-mode standard
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;聚焦業務邏輯缺陷和 IDOR：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix --target api.your-app.com --instruction &lt;span class=&#34;s2&#34;&gt;&amp;#34;Focus on business logic flaws and IDOR vulnerabilities&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;如果測試範圍、規則、排除項比較複雜，可以放到文件裡：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix --target api.your-app.com --instruction-file ./instruction.md
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;在 PR 場景中，可以強制只看某個 base branch 的 diff 範圍：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix -n --target ./ --scan-mode quick --scope-mode diff --diff-base origin/main
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;這些參數很重要。安全工具越強，越需要明確 scope。建議在 &lt;code&gt;instruction.md&lt;/code&gt; 中寫清楚允許測試的域名、路徑、賬號、禁止行為、速率限制、測試窗口和聯繫人。&lt;/p&gt;
&lt;h2 id=&#34;headless-模式&#34;&gt;Headless 模式
&lt;/h2&gt;&lt;p&gt;服務器、CI/CD 和自動化任務通常不需要交互式 UI。Strix 可以用 &lt;code&gt;-n/--non-interactive&lt;/code&gt; 啟動 headless 模式：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;strix -n --target https://your-app.com
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;在這個模式下，CLI 會實時打印漏洞發現，並在退出前輸出最終報告。如果發現漏洞，會以非零退出碼結束。這對 CI/CD 很有用，因為流水線可以據此阻止合併或發佈。&lt;/p&gt;
&lt;h2 id=&#34;github-actions-集成&#34;&gt;GitHub Actions 集成
&lt;/h2&gt;&lt;p&gt;Strix 可以放進 GitHub Actions，在 pull request 上運行輕量安全測試。README 示例大致如下：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt; 1
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 2
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 3
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 4
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 5
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 6
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 7
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 8
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt; 9
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;10
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;11
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;12
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;13
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;14
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;15
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;16
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;17
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;18
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;19
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;20
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;21
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-yaml&#34; data-lang=&#34;yaml&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nt&#34;&gt;name&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;l&#34;&gt;strix-penetration-test&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nt&#34;&gt;on&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;  &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;pull_request&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nt&#34;&gt;jobs&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;  &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;security-scan&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;    &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;runs-on&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;l&#34;&gt;ubuntu-latest&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;    &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;steps&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;      &lt;/span&gt;- &lt;span class=&#34;nt&#34;&gt;uses&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;l&#34;&gt;actions/checkout@v6&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;        &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;with&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;          &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;fetch-depth&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;m&#34;&gt;0&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;      &lt;/span&gt;- &lt;span class=&#34;nt&#34;&gt;name&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;l&#34;&gt;Install Strix&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;        &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;run&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;l&#34;&gt;curl -sSL https://strix.ai/install | bash&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;      &lt;/span&gt;- &lt;span class=&#34;nt&#34;&gt;name&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;l&#34;&gt;Run Strix&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;        &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;env&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;          &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;STRIX_LLM&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;l&#34;&gt;${{ secrets.STRIX_LLM }}&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;          &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;LLM_API_KEY&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;l&#34;&gt;${{ secrets.LLM_API_KEY }}&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;w&#34;&gt;        &lt;/span&gt;&lt;span class=&#34;nt&#34;&gt;run&lt;/span&gt;&lt;span class=&#34;p&#34;&gt;:&lt;/span&gt;&lt;span class=&#34;w&#34;&gt; &lt;/span&gt;&lt;span class=&#34;l&#34;&gt;strix -n -t ./ --scan-mode quick&lt;/span&gt;&lt;span class=&#34;w&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;這裡有兩個細節：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;fetch-depth: 0&lt;/code&gt; 很重要，PR diff 範圍分析需要完整歷史。&lt;/li&gt;
&lt;li&gt;API Key 應放在 GitHub Secrets 中，不要寫進倉庫。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;README 還提醒，在 CI 的 pull request 運行中，Strix 會自動把 quick review 範圍限制到變更文件。如果 diff scope 無法解析，要麼確保 checkout 使用完整歷史，要麼顯式傳入 &lt;code&gt;--diff-base&lt;/code&gt;。&lt;/p&gt;
&lt;h2 id=&#34;配置項&#34;&gt;配置項
&lt;/h2&gt;&lt;p&gt;常用環境變量如下：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;2
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;3
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;4
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;5
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;6
&lt;/span&gt;&lt;span class=&#34;lnt&#34;&gt;7
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-bash&#34; data-lang=&#34;bash&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nb&#34;&gt;export&lt;/span&gt; &lt;span class=&#34;nv&#34;&gt;STRIX_LLM&lt;/span&gt;&lt;span class=&#34;o&#34;&gt;=&lt;/span&gt;&lt;span class=&#34;s2&#34;&gt;&amp;#34;openai/gpt-5.4&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nb&#34;&gt;export&lt;/span&gt; &lt;span class=&#34;nv&#34;&gt;LLM_API_KEY&lt;/span&gt;&lt;span class=&#34;o&#34;&gt;=&lt;/span&gt;&lt;span class=&#34;s2&#34;&gt;&amp;#34;your-api-key&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;c1&#34;&gt;# Optional&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nb&#34;&gt;export&lt;/span&gt; &lt;span class=&#34;nv&#34;&gt;LLM_API_BASE&lt;/span&gt;&lt;span class=&#34;o&#34;&gt;=&lt;/span&gt;&lt;span class=&#34;s2&#34;&gt;&amp;#34;your-api-base-url&amp;#34;&lt;/span&gt;  &lt;span class=&#34;c1&#34;&gt;# if using a local model, e.g. Ollama, LMStudio&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nb&#34;&gt;export&lt;/span&gt; &lt;span class=&#34;nv&#34;&gt;PERPLEXITY_API_KEY&lt;/span&gt;&lt;span class=&#34;o&#34;&gt;=&lt;/span&gt;&lt;span class=&#34;s2&#34;&gt;&amp;#34;your-api-key&amp;#34;&lt;/span&gt;  &lt;span class=&#34;c1&#34;&gt;# for search capabilities&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;&lt;span class=&#34;nb&#34;&gt;export&lt;/span&gt; &lt;span class=&#34;nv&#34;&gt;STRIX_REASONING_EFFORT&lt;/span&gt;&lt;span class=&#34;o&#34;&gt;=&lt;/span&gt;&lt;span class=&#34;s2&#34;&gt;&amp;#34;high&amp;#34;&lt;/span&gt;  &lt;span class=&#34;c1&#34;&gt;# control thinking effort (default: high, quick scan: medium)&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;Strix 會把配置保存到：&lt;/p&gt;
&lt;div class=&#34;highlight&#34;&gt;&lt;div class=&#34;chroma&#34;&gt;
&lt;table class=&#34;lntable&#34;&gt;&lt;tr&gt;&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code&gt;&lt;span class=&#34;lnt&#34;&gt;1
&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;
&lt;td class=&#34;lntd&#34;&gt;
&lt;pre tabindex=&#34;0&#34; class=&#34;chroma&#34;&gt;&lt;code class=&#34;language-text&#34; data-lang=&#34;text&#34;&gt;&lt;span class=&#34;line&#34;&gt;&lt;span class=&#34;cl&#34;&gt;~/.strix/cli-config.json
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;
&lt;/div&gt;
&lt;/div&gt;&lt;p&gt;這樣後續運行時不需要每次重新輸入。README 推薦的模型包括：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;openai/gpt-5.4&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;anthropic/claude-sonnet-4-6&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;vertex_ai/gemini-3-pro-preview&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;實際選擇模型時，可以按任務類型取捨：quick scan 更看重速度和成本；完整滲透測試更看重推理能力、上下文處理和工具調用穩定性。&lt;/p&gt;
&lt;h2 id=&#34;能檢測哪些漏洞&#34;&gt;能檢測哪些漏洞
&lt;/h2&gt;&lt;p&gt;Strix 覆蓋 OWASP Top 10 以及更廣泛的應用安全問題。README 中列出的類型包括：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Broken Access Control：IDOR、權限提升、認證繞過。&lt;/li&gt;
&lt;li&gt;Injection Attacks：SQL 注入、NoSQL 注入、OS 命令注入、SSTI。&lt;/li&gt;
&lt;li&gt;Server-Side Vulnerabilities：SSRF、XXE、不安全反序列化、RCE。&lt;/li&gt;
&lt;li&gt;Client-Side Attacks：存儲型/反射型/DOM XSS、prototype pollution、CSRF。&lt;/li&gt;
&lt;li&gt;Business Logic Flaws：競態條件、支付操縱、流程繞過。&lt;/li&gt;
&lt;li&gt;Authentication &amp;amp; Session：JWT 攻擊、session fixation、credential stuffing。&lt;/li&gt;
&lt;li&gt;Infrastructure &amp;amp; Cloud：錯誤配置、暴露服務、雲安全問題。&lt;/li&gt;
&lt;li&gt;API Security：認證破壞、mass assignment、限流繞過。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;這些類別說明 Strix 的目標不是隻做代碼風格檢查，而是覆蓋從源代碼到運行時行為、從 API 到業務邏輯的安全測試。&lt;/p&gt;
&lt;h2 id=&#34;agentic-pentesting-tools&#34;&gt;Agentic Pentesting Tools
&lt;/h2&gt;&lt;p&gt;Strix Agent 配備了一組進攻安全工具，類似專業滲透測試人員會用的工具鏈：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;HTTP Interception Proxy：通過 Caido 做請求/響應攔截、修改和分析。&lt;/li&gt;
&lt;li&gt;Browser Exploitation：自動化瀏覽器，用於測試 XSS、CSRF、clickjacking、認證繞過等流程。&lt;/li&gt;
&lt;li&gt;Shell &amp;amp; Command Execution：交互式終端，用於漏洞利用開發和後滲透階段。&lt;/li&gt;
&lt;li&gt;Custom Exploit Runtime：Python 沙箱，用於編寫和驗證 PoC。&lt;/li&gt;
&lt;li&gt;Reconnaissance &amp;amp; OSINT：自動化攻擊面映射、子域枚舉和指紋識別。&lt;/li&gt;
&lt;li&gt;Static &amp;amp; Dynamic Code Analysis：結合 SAST 和 DAST。&lt;/li&gt;
&lt;li&gt;Vulnerability Knowledge Base：結構化漏洞發現，包含 CVSS 和 OWASP 分類。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;這也是它和普通掃描器的差異：Agent 不只是匹配規則，還會嘗試組合工具、驗證假設、生成復現路徑。&lt;/p&gt;
&lt;h2 id=&#34;strix-platform&#34;&gt;Strix Platform
&lt;/h2&gt;&lt;p&gt;除了開源 CLI，Strix 還提供 Strix Platform。README 中提到平臺版可以連接倉庫和域名，在幾分鐘內啟動 pentest，並提供：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;帶 PoC 的已驗證漏洞發現。&lt;/li&gt;
&lt;li&gt;一鍵 autofix，把 AI 生成的安全補丁變成可合併 PR。&lt;/li&gt;
&lt;li&gt;Continuous pentesting，跟隨部署持續掃描。&lt;/li&gt;
&lt;li&gt;DevSecOps 集成：GitHub、GitLab、Bitbucket、Slack、Jira、Linear、CI/CD。&lt;/li&gt;
&lt;li&gt;持續學習：基於歷史發現適配代碼庫，逐步減少誤報。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;如果只是想在本地驗證工具，CLI 已經足夠；如果團隊需要持續掃描、協作、報告和企業集成，平臺版更適合。&lt;/p&gt;
&lt;h2 id=&#34;企業版能力&#34;&gt;企業版能力
&lt;/h2&gt;&lt;p&gt;README 還提到企業級滲透測試能力，包括：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;SSO：SAML/OIDC。&lt;/li&gt;
&lt;li&gt;合規報告：SOC 2、ISO 27001、PCI DSS 等。&lt;/li&gt;
&lt;li&gt;專屬支持和 SLA。&lt;/li&gt;
&lt;li&gt;自定義部署：VPC/self-hosted。&lt;/li&gt;
&lt;li&gt;BYOK 模型支持。&lt;/li&gt;
&lt;li&gt;針對企業環境定製的 AI pentesting agents。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;這部分適合有合規、審計、內部安全流程和數據邊界要求的團隊。&lt;/p&gt;
&lt;h2 id=&#34;使用建議&#34;&gt;使用建議
&lt;/h2&gt;&lt;p&gt;第一，把 Strix 放在授權和隔離環境中使用。先跑本地倉庫或 staging 環境，不要直接對生產系統做高強度測試。&lt;/p&gt;
&lt;p&gt;第二，給測試寫清楚 scope。建議維護一個 &lt;code&gt;instruction.md&lt;/code&gt;，記錄允許測試的路徑、賬號、排除接口、禁止破壞性操作和測試窗口。&lt;/p&gt;
&lt;p&gt;第三，把它接進 CI/CD 時先使用 quick scan。等團隊理解輸出、誤報率和成本後，再逐步擴大測試範圍。&lt;/p&gt;
&lt;p&gt;第四，不要把 AI 輸出當成最終安全結論。即使 Strix 強調真實 PoC，也仍然應該由安全工程師或開發負責人複核，確認風險、影響面和修復方案。&lt;/p&gt;
&lt;p&gt;第五，密鑰管理要謹慎。&lt;code&gt;LLM_API_KEY&lt;/code&gt;、&lt;code&gt;PERPLEXITY_API_KEY&lt;/code&gt;、測試賬號密碼都應該放在安全的 secret 管理系統中，不要寫進命令歷史、日誌或倉庫。&lt;/p&gt;
&lt;h2 id=&#34;總結&#34;&gt;總結
&lt;/h2&gt;&lt;p&gt;Strix 的特點是把 AI Agent、滲透測試工具鏈、PoC 驗證和開發者工作流連在一起。它適合用來補足傳統掃描器的盲區，尤其是動態驗證、業務邏輯和 CI/CD 階段的快速安全反饋。&lt;/p&gt;
&lt;p&gt;它也不是“自動替代安全團隊”的工具。更合理的使用方式，是把 Strix 當作一個高效率的 AI 安全測試助手：幫你更快發現可驗證的問題，生成復現材料和修復建議，再由團隊完成風險判斷、代碼審查和正式發佈。&lt;/p&gt;
</description>
        </item>
        
    </channel>
</rss>
