Statische Scanner überschwemmen Sie mit Vielleicht‑Angaben. Strix kehrt die Regel um: kein funktionierender Proof-of-Concept, keine Erkenntnis. Es ist ein Open‑Source‑Flotten von autonomen KI‑Agenten, die Ihre Anwendung wie ein echter Angreifer hacken – den Code ausführen, die Endpunkte anpoken und tatsächlich einbrechen, bevor sie ein Wort sagen.
Was es tatsächlich tut
Strix ist kein Linter, der Ihren Quellcode liest. Jeder Agent erhält ein echtes Werkzeugset: einen HTTP‑Proxy, um Anfragen und Antworten zu manipulieren, einen Headless‑Browser, um XSS und CSRF durch clientseitige Abläufe zu verfolgen, ein Terminal, um Befehle auszuführen, und eine Python‑Runtime, um benutzerdefinierte Exploits zu schreiben. Finden Sie eine SQL‑Injection? Sie führt die Injection aus, zieht die Daten und übergibt Ihnen die komplette Angriffskette – nicht eine „mögliche Schwachstelle“.
Warum es beobachtenswert ist
Das Unternehmen dahinter, usestrix, hat 117 Mio. $ eingeworben und den Kern trotzdem unter Apache 2.0 Open Source gestellt. Sie führen es lokal aus oder integrieren es in eine GitHub‑Actions‑Pipeline mit Ihrem eigenen API‑Key, wo es einen Pull‑Request blockieren kann, sobald neue Schwachstellen auftauchen. Autonomes Pentesting ist derzeit die heißeste Agenten‑Nische im Sicherheitsbereich, und „Beweise es, oder es ist nicht passiert“ ist ein viel höherer Standard als die Scan‑and‑Pray‑Tools, die es ersetzt.