Deixa eu te fazer uma pergunta incômoda: quando foi a última vez que você fez um pentest no software que sua software house entrega?
Se a resposta é “nunca” ou “faz tempo”, você não está sozinho. Na minha experiência com 300+ software houses, segurança é aquele tema que todo mundo sabe que é importante, todo mundo concorda que deveria fazer, e quase ninguém faz de verdade. O motivo? Pentest manual custa caro. Um teste decente começa em R$15 mil e pode passar de R$50 mil dependendo do escopo. Para uma SH que fatura R$200 mil por mês, isso dói.
Agora imagina se existisse um “hacker de IA” que você pudesse soltar no seu código — de graça, open-source, rodando na sua máquina — e ele encontrasse as vulnerabilidades, provasse que são reais com exploits funcionais, e ainda te mostrasse como corrigir. Isso é o Strix.
O que é o Strix
Strix é uma plataforma open-source de security testing que usa agentes de IA autônomos para simular ataques reais ao seu software. O nome vem do latim — Strix é o gênero das corujas, aqueles predadores silenciosos que enxergam no escuro o que ninguém mais vê.
Com 22.936 stars no GitHub, 2.500 forks e 11 releases desde o lançamento, o projeto ganhou tração rápida. A licença é Apache 2.0, o que significa que você pode usar comercialmente sem restrição. A Help Net Security — uma das publicações mais respeitadas em cybersecurity — classificou o Strix como uma das ferramentas de AI pentest mais confiáveis para times profissionais.
O problema que o Strix resolve
Vou ser direto: a maioria das software houses no Brasil entrega software com vulnerabilidades conhecidas. Não por má-fé, mas por economia. O ciclo é assim:
- Você desenvolve o software
- O cliente pede para “fazer um teste de segurança”
- Você contrata uma empresa de pentest por R$20-50K
- Espera 2-4 semanas pelo relatório
- Corrige as vulnerabilidades críticas
- Reza para não ter mais nada
Esse ciclo é lento, caro, e reativo. Quando o pentest encontra algo, o código já está em produção há semanas.
O Strix inverte essa lógica. Em vez de testar segurança como evento pontual, você integra direto no CI/CD. Cada pull request é escaneada automaticamente. Código vulnerável não chega na branch principal. É como ter um hacker ético sentado do lado de cada dev, revisando cada commit.
Como funciona na prática
A instalação é absurdamente simples:
curl -sSL https://strix.ai/install | bash
export STRIX_LLM="anthropic/claude-sonnet-4-6"
export LLM_API_KEY="sua-chave"
strix --target ./seu-projetoPrecisa de Docker rodando e uma chave de API de LLM. Suporta OpenAI GPT-5.4, Claude Sonnet 4.6, Gemini 3 Pro, e até modelos locais via Ollama (se você quer zero dados saindo da máquina).
O Strix opera em três modos:
- Standard (white-box): Acessa todo o código-fonte. É o scan mais completo.
- Quick (diff-scoped): Só analisa o que mudou no PR. Perfeito para CI/CD sem friction.
- Authenticated (grey-box): Com credenciais, simula um atacante que já tem acesso interno.
O que o diferencia: PoC funcional
Aqui está o que me chamou atenção. A maioria das ferramentas de segurança gera relatórios com “possíveis vulnerabilidades” — e metade são falsos positivos. O Strix não faz isso.
Cada vulnerabilidade que ele reporta vem com um Proof of Concept funcional. Ele não diz “aqui pode ter um SQL injection”. Ele executa o injection, prova que funciona, e mostra o resultado. Zero ambiguidade.
Para quem já perdeu horas investigando falsos positivos de SAST tools (SonarQube, eu estou olhando para você), isso é libertador.
O arsenal do agente hacker
O Strix não é um scanner simples. É uma arquitetura multi-agent onde agentes especializados trabalham em paralelo:
- HTTP Proxy: Intercepta e manipula requests e responses em tempo real
- Browser Automation: Testa XSS, CSRF e autenticação em múltiplas abas simultaneamente
- Terminal Shell: Executa comandos para testar injection e path traversal
- Python Runtime: Desenvolve exploits customizados on-the-fly
- OSINT Agent: Faz reconhecimento automatizado de superfície de ataque
- Code Analyzer: Combina análise estática E dinâmica
As categorias de vulnerabilidade que ele cobre leem como um checklist OWASP Top 10: broken access control, injection attacks (SQL, NoSQL, OS command), SSRF, XXE, XSS, business logic flaws, authentication weaknesses, e misconfigurations.
Integração com CI/CD: onde a mágica acontece
Para mim, o killer feature do Strix é a integração com GitHub Actions. Você adiciona um workflow no seu repositório e, a partir daquele momento, cada PR é escaneada automaticamente.
Se o Strix encontra uma vulnerabilidade, o PR é bloqueado. O dev recebe um comentário detalhado com a vulnerabilidade, o PoC, e a sugestão de correção. Código inseguro não chega na main. Simples assim.
No modo headless (-n), o Strix retorna exit codes não-zero quando encontra problemas — o que significa que você pode integrá-lo em qualquer pipeline de CI/CD, não só GitHub Actions.
Como isso muda o jogo para sua software house
Vou dar cinco cenários práticos:
1. Scan em cada PR (custo: quase zero)
Configure o GitHub Actions com o modo Quick. Cada PR é escaneada apenas pelo diff — sem impacto relevante na velocidade do pipeline. Resultado: zero vulnerabilidades óbvias chegam em produção.
2. Substituir pentests de rotina
Rode o scan Standard mensalmente no código completo. Não vai substituir um pentest manual sofisticado, mas pega 80% do que um pentest básico pegaria — por uma fração do custo.
3. Argumento de vendas
“Nossa software house usa AI hackers para testar a segurança de cada linha de código antes de entregar.” Isso é o tipo de diferencial que faz um CEO de empresa de ERP escolher você em vez do concorrente.
4. Compliance automatizado
Para clientes que exigem SOC2, LGPD, ou ISO 27001, o Strix gera relatórios estruturados. Menos tempo preenchendo checklist, mais tempo desenvolvendo.
5. Educação do time
Os PoCs que o Strix gera são aulas práticas de segurança. Seu dev que nunca pensou em XSS vai ver um exploit funcionando no código dele e nunca mais vai esquecer de sanitizar input.
Strix vs. o mercado
O ecossistema de AI pentest tools está esquentando em 2026. Os principais concorrentes são PentestGPT, Pentagi, HexStrike AI, BlacksmithAI e Zen-AI-Pentest. Segundo a Ostorlab, o Strix se destaca por duas razões:
- É agent-based, não apenas prompt-based — os agentes executam código real, não só sugerem
- Gera PoCs funcionais para cada achado — a maioria dos concorrentes para na detecção
A Help Net Security resume bem: “Open-source AI pentesting tools are getting uncomfortably good.” E o Strix está na frente dessa onda.
O que eu penso
Segurança é uma daquelas áreas que software houses tratam como custo quando deveria ser tratada como investimento. Cada real que você gasta prevenindo vulnerabilidade é dez reais que você não gasta em incident response.
O Strix não é perfeito — nenhuma ferramenta de IA é. Ele não substitui um red team experiente em cenários complexos. Mas para o dia-a-dia de uma software house que precisa de segurança básica e consistente, é uma mudança de patamar.
O que me anima de verdade é o modelo: open-source, roda local, Apache 2.0. Nenhuma desculpa para não testar. Se sua SH tem um pipeline de CI/CD (e deveria ter), adicionar o Strix é questão de uma tarde.
A pergunta não é se sua software house deveria usar IA para segurança. A pergunta é por que ainda não está usando.
Sou Thulio, mentoro 300+ SHs desde 2016.
