Github Trends®
findingsmedian surprise window 30 days
UNIT / TREND-MONITOR · REV 2.6
[ 30 days window ]
SOURCE: gharchive
FINDING #18 · UNIT ID 1032808806
usestrix/strix
Open-source AI penetration testing tool to find and fix your app’s vulnerabilities.
[ PYTHON ][ ORG ]ЗАРАБОТОК C · 50/100[ GITHUB ↗ ]
SURPRISE SCORE
0.00

Score Breakdown

SURPRISE0.00714
ENGAGEMENT1.80
FRESHNESS1.00
SCORE = SURPRISE × ENGAGEMENT^0.7 × FRESHNESS × VISIBILITY × CONFIDENCE
SURPRISE = WINDOW STARS / DAYS / (AUDIENCE + FLOOR)
0% OF STARS IN ARCHIVE

Growth Telemetry

VELOCITY /D
39.00
ACCEL
0.00
RETENTION
0.0%
PEAK 2026-07-04 · FORK-RETENTION 0.0% · 39 STARS / WINDOW

Author Audience

AUDIENCE
5,423
FOLLOWERS
0
OWNER ★
27,114

Engagement Signals

FORKS
3,638
ISSUE AUTH
0
PR AUTH
0
UNIQUE STARGAZERS 39 / 39 (DIVERSITY 1.00)

Потенциал заработка

C50/100
СПРОС78
Денег в теме много и они растут: базовый рынок пентеста ~$2 млрд (2025) → ~$4,4 млрд (2031, CAGR 14,2%); подсегмент autonomous AI-pentest ~$2,8 млрд (2025) → ~$9,7 млрд (2034, CAGR 16%). Спрос структурный (комплаенс SOC 2/ISO/PCI, дефицит кадров) и подкреплён венчуром.
ЗАХВАТ38
Слабое звено. Ниша переполнена и щедро профинансирована (XBOW $270M+, Pentera $250M, Horizon3 $100M+, Aikido, Escape, Terra). Технологический ров тонкий: движок зависит от сторонних LLM, качество варьируется между моделями, Apache-2.0 позволяет форкнуть ядро. Ров — только бренд/сообщество и скорость.
ДОСТУП70
Лицензия Apache-2.0 максимально свободна для коммерции. Но нишу уже занял сам автор (usestrix) с платной платформой и контролем roadmap ядра — внешний игрок конкурировал бы против правообладателя. Вложить нужно инференс-инфраструктуру, security-экспертизу и комплаенс-сертификации.
«Заработать на теме можно, но capture топит итог: ниша перенасыщена, а автор монетизирует ядро сам.»

Рыночный анализ · Обзор

Strix — open-source «автономный ИИ-хакер»: команда LLM-агентов сама атакует ваше приложение, находит уязвимости и доказывает их рабочими эксплойтами.
Offensive security / AI-powered penetration testing (agentic AI, DevSecOps)ЗРЕЛОСТЬ · РАСТЁТ
ЯЗЫК
Python
ЛИЦЕНЗИЯ
Apache-2.0
РЕЕСТР
pypi
РЕЛИЗ
v1.0.4
КОНТРИБЬЮТОРЫ
47
УСТАНОВКА: pip install strix-agent
Что делает

Strix — набор автономных ИИ-пентест-агентов, которые действуют как реальные хакеры: динамически запускают код, прощупывают эндпоинты, находят уязвимости и валидируют их через рабочие PoC, а не просто предположения. В комплекте полный offensive-toolkit (HTTP-прокси Caido, браузерная эксплуатация, shell, песочница для эксплойтов, recon/OSINT, SAST+DAST). Есть мульти-агентная оркестрация («граф агентов»), авто-фикс патчами и генерация compliance-отчётов. Ставится как pip install strix-agent, работает через Docker и API-ключ любого LLM-провайдера.

Какую боль решает

Ручной пентест стоит дорого и занимает недели, а статические сканеры заваливают ложными срабатываниями. Strix даёт быстрое (часы вместо недель) и точное тестирование с подтверждёнными эксплойтами вместо ложных тревог.

Сценарии использования
  • AppSec-тестирование: обнаружение и валидация критичных уязвимостей (OWASP Top 10, IDOR, SQLi, SSRF, XSS, бизнес-логика)
  • Быстрый пентест под комплаенс (SOC 2, ISO 27001, PCI DSS) за часы вместо недель
  • CI/CD-интеграция: запуск на каждый pull request через GitHub Actions, блокировка небезопасного кода до продакшена
  • Bug-bounty автоматизация: генерация PoC для быстрого репортинга
Целевой пользователь

Разработчики и security-команды, которым нужно быстрое и точное тестирование без накладных расходов ручного пентеста и ложных срабатываний статических инструментов.

Open-source аналоги

vxcontrol/pentagiСМЕЖНЫЙ14,700
Мульти-агентная автономная платформа с 200+ инструментами в Docker, REST/GraphQL API, семантическая память на Neo4j — больше «платформа», но меньше звёзд.
GreyDGL/PentestGPTСЛАБЕЕ12,500
Пионер темы, human-in-the-loop, академическая валидация (USENIX 2024); слабее по автономности, но сильнее по научной репутации.
CAI (Cybersecurity AI)СИЛЬНЕЕ
Лёгкий расширяемый фреймворк, 300+ бэкендов моделей, инструменты для recon/эксплуатации/эскалации, поддержка self-hosted LLM для air-gapped-сред; по независимому тесту наравне со Strix.
berylliumsec/nebulaСЛАБЕЕ500
AI-ассистент в CLI, не автономный (assisted, не autonomous); есть платный Nebula Pro.
HexStrike AIСМЕЖНЫЙ
Работает как MCP-сервер, требует совместимого AI-клиента для оркестрации — инфраструктурный слой, а не готовый агент.
Armur-Ai/Pentest-Swarm-AIНИШЕВЫЙ
Swarm-агенты на Go + Claude API, 7+ инструментов, bug-bounty/CTF режимы; нишевый догоняющий.
Позиционирование

Лидер по популярности в open-source нише autonomous AI-pentesting: по звёздам (~35,7k) обгоняет PentAGI и PentestGPT более чем вдвое. Один из двух OSS-инструментов (наряду с CAI), стабильно дающих actionable-результат с рабочими PoC в независимых обзорах. По архитектурной зрелости — на уровне лучших, но не единственный: CAI — прямой равный конкурент.

Коммерческие аналоги

XBOWB2BТОЛЬКО ENTERPRISE
Автономный AI-пентест web-приложений и API; лидер категории, основатель — создатель GitHub Copilot Oege de Moor.
Оценка $1 млрд+, привлечено $270 млн+ (в т.ч. $120 млн Series C во главе с DFJ Growth и Northzone); 100+ клиентов, включая Moderna и Samsung Data Systems.
Web app testот $4 000 (с покрытием API)
Enterprisecustom
Aikido SecurityB2B / B2CFREEMIUM
Платформа SAST/SCA/secrets/CSPM/DAST + автономный AI-пентест, модель pay-as-you-scope.
Оценка не подтверждена ≥2 источниками
Free$0 (малые проекты)
Basic~$350/мес (до 10 пользователей)
Pro~$700/мес
Penti (ex-Securily)B2BПОДПИСКА
AI-пентест, доставляющий pentest-grade результаты за часы вместо месяцев; основана в 2022 как Securily.
Масштаб не уточнён
Customcustom
PenligentB2BПОДПИСКА
AI-агентная платформа, автоматизирующая весь цикл пентеста от recon до отчёта на естественном языке, соединяя Nmap, Metasploit, Burp Suite и др.
Масштаб не уточнён
Proот $49,90/мес (масштабирование по кредитам)
Pentest-Tools.comB2BПОДПИСКА
Онлайн-платформа сканирования и пентеста веб/сетей.
Масштаб не уточнён
NetSecот $95/мес
WebNetSecот $140/мес
Pentest Suiteот $190/мес (5 активов)
PenteraB2BТОЛЬКО ENTERPRISE
Автономная валидация безопасности (breach-and-attack simulation), enterprise.
Проинвестирована на $250 млн.
Enterprisecustom
Horizon3.ai (NodeZero)B2BТОЛЬКО ENTERPRISE
Автономный пентест, признан за глубину и точность анализа attack path в Active Directory.
$100 млн+ финансирования.
Enterprisecustom
Смежный: профессиональный toolkit для ручного/полуавтоматического тестирования веб-безопасности.
Отраслевой стандарт, широко распространён
Professional$499 на пользователя в год (с 06.01.2026, повышение с $449)
Nessus (Tenable)B2BПОДПИСКА
Смежный: сканер уязвимостей.
Отраслевой стандарт
Professional$4 790/год
Expert$6 790/год
Terra SecurityB2BТОЛЬКО ENTERPRISE
Agentic AI-пентест.
В апреле 2025 привлекла $8 млн seed от SYN Ventures и FXP Ventures.
Enterprisecustom
EscapeB2BТОЛЬКО ENTERPRISE
AI-пентест (фокус на API/веб).
Привлекла $18 млн Series A 10 марта 2026.
Enterprisecustom
Текущая монетизация проекта

Автор активно монетизирует по модели open-core + product-led SaaS, это не хобби. Есть облачная платформа app.strix.ai (управляемый хостинг того же движка с большей производительностью, хранилищем и интеграциями), enterprise-тир (SSO SAML/OIDC, compliance-отчёты SOC 2/ISO 27001/PCI DSS, выделенная поддержка и SLA, VPC/self-hosted, BYOK, кастомные агенты) и страница pricing с Pro-тиром per-seat/month (точную цифру подтвердить не удалось). Уже есть клиенты (напр. Chegg с публичным отзывом). Владелец — организация usestrix (домен strix.ai, email hi@usestrix.com).

Коммерческий потенциал

ПОТЕНЦИАЛ · СРЕДНИЙ

Заработать реально только по модели, уже выбранной автором — open-core + управляемое облако/enterprise. Для внешнего игрока чистая перепродажа Strix бесперспективна (правообладатель впереди); реалистичнее вертикальная нишевая надстройка или managed-пентест-сервис для SMB на базе OSS-ядра.

Спрос и рынок

Спрос подтверждён и растёт. Базовый рынок пентеста ~$1,98 млрд (2025) → ~$4,39 млрд (2031), CAGR 14,2%. Подсегмент autonomous AI penetration testing ~$2,8 млрд (2025) → ~$9,7 млрд (2034), CAGR 16,0%. Драйверы: комплаенс, дефицит security-кадров, рост сложности атак, PTaaS, cloud/API-security, непрерывный автоматизированный пентест. Готовность платить подтверждена венчуром (XBOW $270M+, оценка $1 млрд+).

Ров / защищённость

Слабый и не технологический. Реальные активы — сообщество/бренд (~35,7k звёзд, первое место в ряде независимых обзоров), скорость итераций и уже набранные клиенты. Технологического рва нет: Apache-2.0 позволяет форкать ядро + полная зависимость от чужих LLM.

Модели монетизации
  • open-core SaaS (основная модель)
  • PTaaS-подписка per-seat / per-scope
  • enterprise-лицензия (self-hosted + SLA + комплаенс-отчёты + SSO)
  • managed-сервис пентеста как услуга для SMB
  • комплаенс-отчётность (SOC 2/ISO 27001/PCI DSS) как отдельный продукт
Что нужно, чтобы сделать продукт
  • Стабильность продукта: манифест сам помечает Development Status Alpha
  • Устранение зависимости результата от выбранной LLM (свой fine-tune / валидаторы)
  • Комплаенс-сертификации и enterprise-контроли на уровне XBOW
  • Снижение стоимости прогона (сейчас — токены стороннего LLM на каждом запуске: ~$3-5 быстрый скан, $10-20 глубокий)
  • Доверие рынка и независимая валидация точности
⚖ ЛИЦЕНЗИЯ · МОЖНО ЛИ КОММЕРЦИАЛИЗИРОВАТЬ
Apache-2.0 — свободно для коммерческого использования, включая закрытые деривативы и SaaS, с явным патентным грантом. Можно строить платный продукт, хостить облако, интегрировать в закрытый софт без обязанности открывать свой код (нужно лишь сохранять уведомления и NOTICE). Никакого high-severity лицензионного риска нет — в отличие от GPL/AGPL или отсутствия лицензии. Стратегическая оговорка: та же свобода позволяет и конкурентам, и самому автору форкать/огораживать ядро, поэтому устойчивое преимущество нужно строить на бренде, данных и скорости, а не на лицензии.
Риски и подводные камни
ВЫСОКИЙКОНКУРЕНЦИЯ
Ниша AI-пентеста быстро стала переполненной; гиперфинансированные игроки (XBOW $270M+, Pentera $250M, Horizon3 $100M+) могут задавить маркетингом и enterprise-продажами.
ВЫСОКИЙЮР. СЕРАЯ ЗОНА
Offensive-security инструмент: злоупотребление незаконно (CFAA и аналоги). README сам предупреждает тестировать только приложения, которыми владеешь или на которые есть разрешение. Ответственность за misuse — барьер для коммерциализации.
СРЕДНИЙЗАВИСИМОСТЬ ОТ АВТОРА
Полная зависимость от сторонних LLM; качество нестабильно между моделями (deepseek-v3.2 и grok-4.20 показали слабый результат); статус Alpha по самооценке манифеста.
СРЕДНИЙКОММОДИТИЗАЦИЯ
Экономика прогона зависит от цен LLM-провайдеров ($3-5 быстрый скан, $10-20 глубокий) — это давит маржинальность SaaS.
СРЕДНИЙАВТОР МОНЕТИЗИРУЕТ САМ
Автор (usestrix) уже монетизирует ядро через app.strix.ai и enterprise-тир и контролирует roadmap — внешнему монетизатору придётся конкурировать против правообладателя.
СРЕДНИЙСЛАБЫЙ РОВ
ИИ пока не заменяет человека: в исследовании ARTEMIS AI-агент обошёл 9 из 10 пентестеров, но лучший человек нашёл больше (13 против 9) за счёт креативного цепочения эксплойтов — точность/доверие ограничены.

Достоверность разбора

УВЕРЕННОСТЬ · СРЕДНЯЯclaude-opus-4-8 · 2026-07-05 · ОКНО 1D
Оговорки / что не проверено
  • Точную цену Pro-тарифа платформы Strix (app.strix.ai) подтвердить не удалось — страница отдала обрезанный текст, фигурирует лишь формат $…9/seat/month. Помечено как неуверенное.
  • Звёзды CAI, HexStrike AI и Pentest-Swarm-AI не подтверждены надёжно; URL этих репозиториев указаны по общему знанию и могут быть неточны.
  • Оценка/выручка Aikido Security не подтверждена ≥2 источниками.
  • Цифры инвестиций и оценок (XBOW $270M+ и $1 млрд+, Pentera $250M, Horizon3 $100M+, Terra $8M, Escape $18M) взяты из обзоров, часть — из одного источника каждая; возможны расхождения по датам/раундам.
  • Оценки размеров рынков расходятся между агентствами (напр. MarketsandMarkets $1,98 млрд/2025 против Mordor $2,15 млрд/2025) — нормальный разброс методологий, цифры ориентировочные.
  • Результаты независимых сравнений (Ostorlab: Strix и CAI как наиболее надёжные; ARTEMIS: AI против пентестеров) взяты из отдельных обзоров и не кросс-верифицированы ≥2 независимыми источниками.
  • Оценки звёзд PentAGI (~14,7k) и PentestGPT (~12,5k) даны на момент цитируемых обзоров и могли измениться.
  • Динамика звёзд Strix (24,8k → 28,9k → 35,7k) собрана из разных дат разных источников, тренд достоверен, точные значения — ориентировочные.
ИСТОЧНИКИ (23)

Why This Is A Finding

usestrix/strix собрал 39 звёзд за окно, тогда как у организации 0 подписчиков и репутация только из собственных звёзд — эффективная аудитория ≈ 5,423. Это даёт surprise-индекс 0.00714 (звёзды относительно охвата автора, а не в абсолюте). Удержание форков 0.0% и 0 внешних контрибьюторов отделяют реальный инструмент от разовой вспышки. Акселерация положительная — рост ещё не выдохся.

Related Findings

RANKS ABOVE 0% OF 1 FINDINGS
NO RELATED FINDINGS

METRICS IN CONTEXT

MEDIAN ACROSS ALL 1 FINDINGS · Δ vs MEDIAN · PERCENTILE = SHARE RANKED BELOW
METRICVALUEMEDIANΔ MEDPERCENTILE
SCORE0.010.010.00ABOVE 0%
VELOCITY39.0039.000.00ABOVE 0%
RETENTION0.0%0.0%0.0 PPABOVE 0%
FORKS3,6383,6380ABOVE 0%
SURPRISE0.010.010.00ABOVE 0%