- Herramienta de pruebas de seguridad de código abierto que, con un enfoque de agente de IA autónomo, ejecuta código directamente como un hacker real, encuentra vulnerabilidades y luego las valida con PoC (prueba de concepto) reales
- Compatible con integración de pipelines de CI/CD y GitHub Actions, lo que permite ejecutar escaneos de seguridad automáticos en cada PR y bloquear código vulnerable antes de que se despliegue a producción
- Los tipos de vulnerabilidades que puede detectar abarcan varias categorías, como IDOR, escalación de privilegios, inyección SQL, SSRF, XSS, vulnerabilidades de JWT y configuraciones incorrectas de infraestructura
- Realiza pruebas integrales con una arquitectura de Graph of Agents, en la que varios agentes colaboran mediante flujos de trabajo distribuidos, ejecución en paralelo y colaboración dinámica
- Incluye por defecto herramientas equivalentes al toolkit de un hacker real, como Full HTTP Proxy, automatización de navegador, entorno de terminal, runtime de Python, reconocimiento OSINT y análisis de código
- Soporta varios tipos de objetivos, como bases de código locales (
./app-directory), URLs de repositorios de GitHub y URLs de aplicaciones web desplegadas
- En modo headless (
-n), puede ejecutarse de forma no interactiva en servidores y entornos automatizados, y cuando detecta una vulnerabilidad devuelve un código de salida anómalo para bloquear el pipeline
- LLM recomendados: OpenAI GPT-5.4, Anthropic Claude Sonnet 4.6, Google Gemini 3 Pro Preview; es compatible con los principales proveedores
- En la plataforma en la nube (app.strix.ai) también ofrece corrección automática con un clic (en forma de PR), monitoreo continuo e integraciones adicionales con GitHub, Slack, Jira y Linear
- Licencia Apache-2.0 / Python
1 comentarios
¿Da la impresión de que habrá cada vez más código de seguridad que desarrollo del programa?!