Estás publicando código más rápido que nunca. Claude Code, Cursor, Copilot — la IA está escribiendo una porción cada vez mayor de tu código cada semana. Eso es genial para la velocidad. No tanto para la seguridad.
El código generado por IA tiene un problema conocido: es fluido, seguro de sí mismo, y a veces peligrosamente incorrecto. Patrones de SQL injection, flujos de autenticación rotos, endpoints expuestos — el tipo de cosas que se hubieran detectado en una revisión seria, excepto que tu proceso de revisión no está siguiendo el ritmo de tu cadencia de deploy.
Strix es cómo cerrás esa brecha.
¿Qué es Strix?
Strix es una plataforma de seguridad agéntica open-source con más de 21K estrellas en GitHub. No escanea tu código de forma estática y te entrega una lista de advertencias — corre tu aplicación, actúa como un atacante real, y valida los hallazgos mediante exploits de prueba de concepto reales.
Pensalo como un pentester que corre automáticamente en cada pull request y nunca se queja de trabajar los fines de semana.
Soporta cualquier proveedor de LLM: OpenAI, Anthropic, Vertex AI, Bedrock, Azure, o un modelo local via Ollama. Vos traés tu API key; Strix trae el playbook de ataque.
El flujo de trabajo
Strix opera en tres modos según lo que estés testeando:
- Codebase local — apuntalo a un directorio, lee tu código fuente y busca vulnerabilidades antes de que siquiera hagas deploy
- Repositorio en GitHub — pasale una URL, clona y analiza
- Web app en vivo — evaluación black-box contra una URL en ejecución, con o sin credenciales
# Instalación
pipx install strix-agent
# Configurá tu LLM (ejemplo con Anthropic)
export STRIX_LLM="anthropic/claude-opus-4-6"
export LLM_API_KEY="tu-anthropic-key"
# Corré contra tu proyecto local
strix --target ./mi-app
# O contra tu entorno de staging
strix --target https://staging.mi-app.com \
--instruction "Focus on authentication and privilege escalation"
En el primer run descarga una imagen Docker sandboxeada para ejecutar los exploits de forma segura. Los resultados quedan en strix_runs/<nombre-del-run> — reportes estructurados con descripción, impacto, evidencia y pasos de remediación.
La parte que realmente cambia tu workflow: integración CI/CD
Acá es donde Strix se gana su lugar. Un workflow de GitHub Actions, y cada PR dispara un scan de seguridad antes del merge:
name: strix-penetration-test
on: pull_request:
jobs:
security-scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v6
- name: Install Strix
run: curl -sSL https://strix.ai/install | bash
- name: Run Strix
env:
STRIX_LLM: ${{ secrets.STRIX_LLM }}
LLM_API_KEY: ${{ secrets.LLM_API_KEY }}
run: strix -n -t ./ --scan-mode quick
El flag -n corre en modo no-interactivo (perfecto para CI). --scan-mode quick hace un barrido rápido de alto impacto — no exhaustivo, pero suficiente para atrapar problemas críticos antes del merge. Strix termina con código de salida no-cero cuando encuentra vulnerabilidades, lo que significa que tu pipeline falla y el PR queda bloqueado. No necesitás ningún cambio en tu código más allá del YAML.
Para evaluaciones más profundas — antes de un release, por ejemplo — cambiá quick por thorough y correlo manualmente o en un schedule.
Qué encuentra
Strix incluye una biblioteca de skills de seguridad que cubre el OWASP Top 10 y más: SQL injection, RCE, control de acceso roto, SSRF, bypasses de autenticación, y otros. La versión v0.6.0 agregó razonamiento encadenado a través de investigaciones multi-paso — los agentes preservan su pensamiento entre pasos, para poder seguir cadenas de exploit de la misma forma que lo haría un atacante real, no solo verificar patrones individuales de forma aislada.
La deduplicación basada en LLM significa que no recibís 40 variaciones del mismo hallazgo. Los reportes se mapean limpiamente a cómo se lee un reporte de pentest real: descripción, impacto, evidencia, remediación — listo para convertir en un ticket o un documento de compliance.
El contexto: por qué importa ahora
La comunidad de seguridad viene advirtiendo sobre el código generado por IA desde hace más de un año. La preocupación no es que la IA escriba código malo a propósito — es que escribe código plausiblemente malo a escala. Un requerimiento mal interpretado, una validación que falta, una suposición de confianza que no debería estar ahí.
Strix no reemplaza la revisión de seguridad, pero le da a cualquier equipo de desarrollo — incluso a los que no tienen un ingeniero de AppSec dedicado — un atacante automatizado corriendo en cada cambio. Ese es un cambio real.
Para empezar
- GitHub: GitHub - usestrix/strix: Open-source AI hackers to find and fix your app’s vulnerabilities. · GitHub
- Docs: https://docs.strix.ai
- Versión cloud con dashboards y features enterprise: https://app.strix.ai
¿Ya tenés alguna herramienta de seguridad integrada en tu pipeline? ¿O la seguridad todavía es algo que revisás “cuando hay tiempo”? Contanos en los comentarios.