Agent 代码安全扫描、修复与渗透测试工具推荐
首推:Strix(⭐ 20.6k)
- 链接:https://github.com/usestrix/strix
- 核心功能:自主 AI “黑客” Agent,动态运行你的代码/应用 → 发现 IDOR、注入、XSS、权限绕过、业务逻辑漏洞等 → 自动生成 PoC 验证 → 一键输出可合并的 PR 修复补丁。
- 支持 GitHub repo / 本地目录 / 线上 URL 扫描,多 Agent 协作、浏览器自动化、完整工具链。
- 支持 OpenAI、Claude、Gemini、本地 LLM(LiteLLM)。
- 安装一行命令:
curl -sSL https://strix.ai/install | bash - 非常适合 CI/CD 集成,已有 GitHub Actions 示例。
- 强烈推荐,目前最成熟的“找漏洞+自动修复”方案。
首推:PentestGPT(⭐ 11.8k)
- 链接:https://github.com/GreyDGL/PentestGPT
- 经典之作,Agentic 框架,专为渗透测试和 CTF 设计。
- 支持 Web、Crypto、PWN、逆向、取证等全类别;实时交互界面、可保存会话、本地 LLM(Ollama/LM Studio)支持。
- Docker 一键部署,已内置大量安全工具。
- 基准测试成功率 86.5%,非常成熟。
PentAGI(⭐ 8.