能力标签
xalgorix Agent工作流
🛠
AI工具

xalgorix Agent工作流

基于 Go · 开源 AI 工具,GitHub 社区精选
英文名:xalgorix
⭐ 219 Stars 🍴 30 Forks 💻 Go 📄 MIT 🏷 AI 8.2分
8.2AI 综合评分
AI安全测试渗透测试开源工具工作流自动化漏洞挖掘
✦ AI Skill Hub 推荐

经 AI Skill Hub 精选评估,xalgorix Agent工作流 获评「强烈推荐」。这款AI工具在功能完整性、社区活跃度和易用性方面表现出色,AI 评分 8.2 分,适合有一定技术背景的用户使用。

📚 深度解析

xalgorix Agent工作流 是一款基于 Go 的开源工具,在 GitHub 上收获 0k+ Star,是AI安全测试、渗透测试、开源工具、工作流自动化领域中的优质开源项目。开源工具的最大优势在于代码完全透明,你可以审计每一行代码的安全性,也可以根据自身需求进行二次开发和定制。

**为什么要使用开源工具而非商业 SaaS?**
对于个人开发者和有隐私需求的用户,本地部署的开源工具意味着数据不离本机,不受第三方服务商的数据政策约束。同时,开源工具通常没有使用次数限制和月度费用,一次安装即可长期使用,对于高频使用场景的总拥有成本(TCO)远低于订阅制商业工具。

**安装与环境准备**
xalgorix Agent工作流 依赖 Go 运行环境。建议通过 pyenv(Python)或 nvm(Node.js)管理 Go 版本,避免全局环境污染。对于新手用户,推荐先创建虚拟环境(python -m venv venv && source venv/bin/activate),再安装依赖,这样即使出现问题也可以随时删除虚拟环境重新开始,不影响系统稳定性。

**社区与维护**
GitHub Issue 和 Discussion 是获取帮助的最快渠道。在提问前建议先检查 Closed Issues(已关闭的问题),大多数常见问题都已有解答。遇到 Bug 时,提供 pip list 的输出、完整错误堆栈和最小可复现示例,能显著提高开发者响应速度。AI Skill Hub 将持续追踪 xalgorix Agent工作流 的版本更新,及时通知重要功能变化。

📋 工具概览

xalgorix Agent工作流 是一款基于 Go 开发的开源工具,专注于 AI安全测试、渗透测试、开源工具 等核心功能。作为 GitHub 开源项目,它拥有活跃的社区支持和持续的版本迭代,代码完全透明可审计,支持本地部署以保护数据隐私。无论是个人使用还是集成到企业工作流,都能提供稳定可靠的解决方案。

GitHub Stars
⭐ 219
开发语言
Go
支持平台
Windows / macOS / Linux(跨平台)
维护状态
轻量级项目,按需更新
开源协议
MIT
AI 综合评分
8.2 分
工具类型
AI工具
Forks
30

📖 中文文档

以下内容由 AI Skill Hub 根据项目信息自动整理,如需查看完整原始文档请访问底部「原始来源」。

xalgorix Agent工作流 是一款基于 Go 开发的开源工具,专注于 AI安全测试、渗透测试、开源工具 等核心功能。作为 GitHub 开源项目,它拥有活跃的社区支持和持续的版本迭代,代码完全透明可审计,支持本地部署以保护数据隐私。无论是个人使用还是集成到企业工作流,都能提供稳定可靠的解决方案。

📌 核心特色
  • 开源免费,支持本地部署,数据完全自主可控
  • 活跃的 GitHub 开源社区,持续迭代更新
  • 提供详细文档和使用示例,新手友好
  • 支持自定义配置,灵活适配不同使用环境
  • 可作为基础组件集成进现有技术栈或进行二次开发
🎯 主要使用场景
  • 本地部署运行,保护数据隐私,满足合规要求
  • 自定义集成到现有系统,扩展技术栈能力
  • 作为开源基础组件进行商业化二次开发
以下安装命令基于项目开发语言和类型自动生成,实际以官方 README 为准。
安装命令
# 方式一:go install(推荐)
go install github.com/xalgord/xalgorix@latest

# 方式二:从源码编译
git clone https://github.com/xalgord/xalgorix
cd xalgorix
go build -o xalgorix .

# 方式三:下载预编译二进制
# 访问 Releases 页面下载对应平台二进制文件
# https://github.com/xalgord/xalgorix/releases
📋 安装步骤说明
  1. 访问 GitHub 仓库页面
  2. 按照 README 文档完成依赖安装
  3. 根据系统环境完成初始化配置
  4. 参考官方示例或文档开始使用
  5. 遇到问题可在 GitHub Issues 中查找解答
以下用法示例由 AI Skill Hub 整理,涵盖最常见的使用场景。
常用命令 / 代码示例
# 查看帮助
xalgorix --help

# 基本运行
xalgorix [options] <input>

# 详细使用说明请查阅文档
# https://github.com/xalgord/xalgorix
以下配置示例基于典型使用场景生成,具体参数请参照官方文档调整。
配置示例
# xalgorix 配置说明
# 查看配置选项
xalgorix --config-example > config.yml

# 常见配置项
# output_dir: ./output
# log_level: info
# workers: 4

# 环境变量(覆盖配置文件)
export XALGORIX_CONFIG="/path/to/config.yml"
📑 README 深度解析 真实文档 完整度 87/100 查看 GitHub 原文 →
以下内容由系统直接从 GitHub README 解析整理,保留代码块、表格与列表结构。

简介

<img src="assets/banner.png?v=4.5.38" alt="Xalgorix" width="860" />

<br />

Go License Platform Hosted

Self-hosted AI security testing with a local Web UI, live agent telemetry, verified findings, and branded PDF reports.

</div>

---

Overview

Xalgorix is a self-hosted AI security testing platform for authorized penetration testing and bug bounty workflows. It combines an LLM-driven agent, browser automation, terminal tooling, a 22-phase testing methodology, live WebSocket events, finding management, report generation, and integrations for AgentMail and Discord.

The default experience is the Web UI. From one local dashboard you can start scans, monitor active runs, inspect findings, configure model/provider settings, manage environment variables, generate branded PDF reports, and delete or resume historical scans.

Features

AreaCapabilities
DashboardLocal Web UI on 127.0.0.1:9137 by default, scan management, live status, bulk scan actions, and historical scan recovery.
ScanningSingle target, DAST, wildcard, and multi-target flows with selectable methodology phases.
Live telemetryTool calls, agent messages, findings, errors, HTTP activity, and LLM activity over WebSockets.
FindingsScan detail pages, severity filters, CVSS details, finding index, and verified finding workflows.
ReportingBranded PDF reports with target/company name, uploaded logo, report list, open/download/delete actions.
IntegrationsAgentMail test inboxes, verification emails, OTP flows, email triage events, Discord and Telegram notifications.
ConfigurationDashboard settings for LLM, AgentMail, Discord, Telegram, proxy, runtime, browser, auth, rate limits, and resources.
Runtime safetyResource-aware instance limits and loopback-only binding unless external access is explicitly configured with auth.

Requirements

RequirementNotes
LinuxPrimary supported platform.
Go1.24.2 or newer.
Node.js + npmRequired when building the bundled React Web UI from source.
Security toolsInstalled on demand only when auto-install is enabled.

Check your Go version:

go version

Installation

Build From Source

git clone https://github.com/xalgord/xalgorix.git
cd xalgorix
make build
sudo install -m 755 build/xalgorix /usr/local/bin/xalgorix

make build builds the React Web UI into internal/web/static, then builds the Go binary.

Install With Go

GOPROXY=direct GOSUMDB=off go install github.com/xalgord/xalgorix/v4/cmd/xalgorix@latest

Quick Start

git clone https://github.com/xalgord/xalgorix.git
cd xalgorix
make build
sudo install -m 755 build/xalgorix /usr/local/bin/xalgorix

Create ~/.xalgorix.env:

XALGORIX_LLM=minimax/MiniMax-M2.7
XALGORIX_API_KEY=your_provider_api_key

Start the dashboard:

xalgorix --web

Open http://127.0.0.1:9137.

[!IMPORTANT] Use Xalgorix only on systems you own or have explicit permission to test.
[!TIP] Prefer not to self-host? A fully managed version is available at www.xalgorix.com — click-to-scan, no install or API keys required.

Provider Examples

OpenAI:

XALGORIX_LLM=openai/gpt-5.4
XALGORIX_API_KEY=sk-...

Custom OpenAI-compatible provider:

XALGORIX_LLM=custom/security-model
XALGORIX_API_BASE=https://your-provider.example/v1
XALGORIX_API_KEY=your_provider_api_key

Screenshots

Overview dashboardScan detailFindings
![Xalgorix overview dashboard](assets/screenshot-1.png)![Xalgorix scan detail](assets/screenshot-2.png)![Xalgorix findings](assets/screenshot-3.png)

Configuration

Xalgorix loads configuration in this order. Later sources override earlier ones.

OrderSource
1/etc/xalgorix.env
2/home/<sudo-user>/.xalgorix.env when launched through sudo
3~/.xalgorix.env
4Environment variables already present in the process

Create the local environment file:

nano ~/.xalgorix.env

Minimal Config

XALGORIX_LLM=minimax/MiniMax-M2.7
XALGORIX_API_KEY=your_provider_api_key

Optional Integrations

GEMINI_API_KEY=AIza...
AGENTMAIL_POD=am_us_pod_47
AGENTMAIL_API_KEY=ak_...
XALGORIX_DISCORD_WEBHOOK=https://discord.com/api/webhooks/...
XALGORIX_DISCORD_MIN_SEVERITY=high

New environment variable

VariableDefaultDescription
XALGORIX_LLM_MAX_INFLIGHT4 × EffectiveMaxInstancesCaps simultaneous outbound LLM calls across all running scans. Minimum 1. Cancelled waiters do not consume a slot.

Settings

Most operational settings can be changed from the Web UI under Settings.

AreaExamples
EngagementDashboard request rate limits
LLMModel, API key, API base, reasoning effort, retries, max iterations
AgentMailPod and API key
NotificationsDiscord webhook and minimum severity, Telegram bot token, chat ID, and minimum severity
ProxyProxy URL, proxy file, rotation, TLS verification
RuntimeWorkspace, browser path, auto-install controls
SecurityDashboard username, password, password hash, bind address
ResourcesCPU/RAM/disk thresholds and scan concurrency budget

Some settings require a restart because they affect process startup or server binding. The UI marks those fields.

Environment Variables

New health endpoint counters

GET /api/status now exposes:

FieldMeaning
panics_recoveredGoroutine, HTTP handler, and tool panics that were recovered without crashing.
path_rejectionsFilesystem writes refused by Path_Policy (outside data_dir / ~/.xalgorix/ / /tmp).
watchdog_killsSubprocesses terminated by the per-tool hard-timeout watchdog.
admission_refusalsScan admission requests denied due to the concurrency ceiling.
llm_inflight_capEffective XALGORIX_LLM_MAX_INFLIGHT value for this process.
data_dirResolved Data_Dir in use.
allow_listFilesystem roots accepted by Path_Policy.

CLI Scan

xalgorix --target https://example.com

With custom instructions:

xalgorix --target https://app.example.com --instruction "Focus on SQL injection, IDOR, and auth bypass. Avoid destructive tests."

CLI Reference

FlagAliasDescription
--web-wStart the Web UI.
--port <port>-pWeb UI port. Default: 9137.
--bind <addr>noneBind address. Default: 127.0.0.1.
--target <target>-tTarget URL, host, IP, or path. Repeatable.
--instruction <text>-iCustom scan instructions.
--model <model>-mOverride XALGORIX_LLM for this run.
--update-upUpdate to the latest release.
--version-vPrint version.
--startnoneInstall and start the system service.
--stopnoneStop the system service.
--restartnoneRestart the system service.
--uninstallnoneRemove the system service.
--help-hShow help.

API Summary

MethodEndpointPurpose
POST/api/scanStart or save a scan.
POST/api/stopStop all running scans.
GET/api/statusCurrent global status.
GET/api/scansList scans.
GET/api/scans/:idGet scan detail.
DELETE/api/scans/:idDelete a scan and its report data.
GET/api/findingsList all findings (deduplicated across scans).
GET/api/findings/summarySeverity tally across all scans.
GET/api/report/:idDownload a PDF report.
GET/api/instancesList live and historical instances.
GET/api/instances/:id/eventsGet buffered event history.
POST/api/instances/:id/stopStop a specific instance.
POST/api/instances/:id/startStart a saved or completed scan as a new run.
POST/api/instances/:id/restartRestart with the same configuration.
POST/api/instances/:id/pausePause a running scan.
POST/api/instances/:id/resumeResume a paused scan.
POST/api/upload-logoUpload a report logo.
POST/api/upload-targetsUpload a target list.
GET/api/settings/environmentList editable environment settings.
POST/api/settings/environmentSave environment settings.
GET/api/settings/llmGet LLM settings.
POST/api/settings/llmSave LLM settings.
GET/api/settings/agentmailGet AgentMail settings.
POST/api/settings/agentmailSave AgentMail settings.
GET/wsWebSocket live event stream.

Web UI Workflow

  1. Open the dashboard at http://127.0.0.1:9137.
  2. Go to Settings and confirm the LLM provider, API key, rate limits, and optional integrations.
  3. Create a scan from New Scan.
  4. Choose a scan mode.
  5. Select methodology phases when you want a focused run.
  6. Set severity filters when only certain severities should be reported live. The filter affects the real-time dashboard feed and notifications only; the PDF report and /api/findings always include every vulnerability the agent discovered.
  7. Add company name and upload a logo for branded reports.
  8. Monitor progress from Overview, Scan Detail, or Live Feed.
  9. Open finding details, download reports, or manage historical scans from Scans and Reports.

Integrations

VariableDefaultDescription
AGENTMAIL_PODnoneAgentMail pod identifier.
AGENTMAIL_API_KEYnoneAgentMail API key.
XALGORIX_DISCORD_WEBHOOKnoneGlobal Discord webhook.
XALGORIX_DISCORD_MIN_SEVERITYnoneMinimum severity sent to Discord.
XALGORIX_TELEGRAM_BOT_TOKENnoneTelegram bot token from @BotFather.
XALGORIX_TELEGRAM_CHAT_IDnoneTelegram chat/channel ID (numeric or @username).
XALGORIX_TELEGRAM_MIN_SEVERITYnoneMinimum severity sent to Telegram.
CAIDO_PORT0Caido proxy port. 0 means auto-detect.
CAIDO_API_TOKENnoneCaido API token.
🇨🇳 中文文档镜像 AI 翻译 2026-05-25
英文原文章节由系统翻译为中文摘要,便于快速理解。完整原文见上方 "📑 README 深度解析"。
📌 简介

Xalgorix 是一个专为授权渗透测试和 Bug Bounty 工作流设计的自托管 AI 安全测试平台。它集成了由 LLM 驱动的智能 Agent、浏览器自动化技术、终端工具集以及一套包含 22 个阶段的专业测试方法论。平台支持通过 WebSocket 实现实时事件流,并提供漏洞管理、报告生成以及与 AgentMail 和 Discord 的深度集成。用户可以通过直观的 Web UI 本地仪表盘进行统一管理,实现高效的安全自动化扫描。

⚡ 功能介绍

Xalgorix 提供功能全面的安全测试能力。其 Dashboard 仪表盘支持在本地 `127.0.0.1:9137` 运行,提供扫描管理、实时状态监控、批量扫描操作及历史记录恢复功能。在扫描引擎方面,支持单目标、DAST、通配符及多目标扫描流,并允许用户根据需求灵活选择测试方法论,确保测试过程既符合专业标准又具备高度的灵活性。

📋 环境依赖

在部署 Xalgorix 之前,请确保您的环境满足以下要求:系统方面,主要支持 Linux 平台;开发环境需要安装 Go `1.24.2` 或更高版本;如果您需要从源码构建集成了 React 的 Web UI,则必须安装 Node.js 和 npm 环境。建议在配置好上述依赖后再进行后续的安装与编译操作。

🛠 安装步骤(Docker/pip/源码)

您可以根据需求选择不同的安装方式:1. 从源码构建:通过 `git clone` 获取代码,执行 `make build` 编译 React Web UI 与 Go 二进制文件,最后使用 `sudo install` 将其安装至 `/usr/local/bin/xalgorix`;2. 使用 Go 安装:直接运行 `go install github.com/xalgord/xalgorix/v4/cmd/xalgorix@latest` 即可快速完成部署。

🚀 使用教程

快速上手指南:首先通过 Git 克隆项目并完成编译安装。接着,在用户目录下创建 `~/.xalgorix.env` 文件,配置所需的 `XALGORIX_LLM` 模型名称及 `XALGORIX_API_KEY`。启动服务时使用 `xalgorix --web` 命令,随后通过浏览器访问 `http://127.0.0.1:9137` 即可进入 Web UI 界面。平台同样支持通过 CLI 模式进行目标扫描,并允许通过 `--instruction` 参数自定义测试指令。

⚙️ 配置说明(含 MCP / env)

Xalgorix 的配置遵循特定的优先级顺序,后续来源会覆盖早期配置。配置加载顺序依次为:`/etc/xalgorix.env`、`sudo` 用户下的环境文件、用户家目录下的 `~/.xalgorix.env` 以及系统环境变量。除了基础的 LLM 模型与 API Key 配置外,您还可以通过环境变量集成 Gemini、AgentMail 以及 Discord Webhook,实现自动化通知与漏洞推送。

🔌 API 说明

Xalgorix 提供了完善的 CLI 工具与 RESTful API 接口。CLI 模式支持通过 `--target` 指定目标,并可通过参数控制 Web UI 的端口与绑定地址。API 层面,提供了 `/api/scan` 用于启动或保存扫描任务,`/api/stop` 用于停止所有运行中的扫描,以及 `/api/status` 和 `/api/scans` 用于获取全局状态与扫描历史,方便开发者进行二次开发或集成。

🔄 工作流/模块

在 Web UI 工作流中,用户首先在仪表盘访问设置页面,确认 LLM Provider、API Key、速率限制及第三方集成配置。随后通过 'New Scan' 创建扫描任务,并根据需要选择特定的扫描模式或方法论阶段。您还可以通过设置严重性过滤器(Severity Filters)来精简测试范围,确保扫描结果聚焦于您关注的安全风险。

🎯 aiskill88 AI 点评 A 级 2026-05-22

融合AI与安全工程的创新产品,自动化渗透测试能力强,社区热度较高。代码质量有保证,适合专业安全团队集成。

📚 实用指南(长尾问题)
适合谁
  • 构建多智能体协作系统的 Agent 开发者
最佳实践
  • 本地部署优先选 GGUF 量化模型,节省显存并保持响应速度
  • Agent 任务先做 dry-run 验证工具调用链,再开启自主执行
常见错误
  • API key 直接提交到 git 仓库(请用 .env 并加入 .gitignore)
  • 显存不足直接 OOM — 优先降低 context 或换更小的量化模型
部署方案
  • CLI:直接 npm install -g / pip install,命令行调用
  • 本地部署:CPU 8GB 起,GPU 推荐 16GB+ 显存
  • 云端托管:可放在 Vercel / Railway / Fly.io 等 PaaS 平台
相关搜索
xalgorix 中文教程xalgorix 安装报错怎么办xalgorix Agent 工作流xalgorix 与同类工具对比xalgorix 最佳实践xalgorix 适合谁用

⚡ 核心功能

👥 适合谁
  • 构建多智能体协作系统的 Agent 开发者
⭐ 最佳实践
  • 本地部署优先选 GGUF 量化模型,节省显存并保持响应速度
  • Agent 任务先做 dry-run 验证工具调用链,再开启自主执行
⚠️ 常见错误
  • API key 直接提交到 git 仓库(请用 .env 并加入 .gitignore)
  • 显存不足直接 OOM — 优先降低 context 或换更小的量化模型

👥 适合人群

AI 技术爱好者研究人员和学生开发者和工程师技术创业者

🎯 使用场景

  • 本地部署运行,保护数据隐私,满足合规要求
  • 自定义集成到现有系统,扩展技术栈能力
  • 作为开源基础组件进行商业化二次开发

⚖️ 优点与不足

✅ 优点
  • +MIT 协议,可免费商用
  • +完全开源免费,无授权费用
  • +本地部署,数据完全自主可控
  • +开发者社区支持,遇问题可查可问
⚠️ 不足
  • 安装和初始配置可能需要一定技术基础
  • 功能完整性通常不如成熟商业产品
  • 技术支持主要依赖开源社区,响应速度不稳定
⚠️ 使用须知

AI Skill Hub 为第三方内容聚合平台,本页面信息基于公开数据整理,不对工具功能和质量作任何法律背书。

建议在沙箱或测试环境中充分验证后,再部署至生产环境,并做好必要的安全评估。

📄 License 说明

✅ MIT 协议 — 最宽松的开源协议之一,可自由商用、修改、分发,仅需保留版权声明。

🔗 相关工具推荐

📰 相关 AI 新闻
🍿 AI 圈相关吃瓜
🗺️ 相关解决方案
🧩 你可能还需要
基于当前 Skill 的能力图谱,自动补全的工具组合

❓ 常见问题 FAQ

支持自动化扫描、漏洞检测、工作流编排等AI驱动的安全测试流程
💡 AI Skill Hub 点评

AI Skill Hub 点评:xalgorix Agent工作流 的核心功能完整,质量优秀。对于AI爱好者来说,这是一个值得纳入个人工具库的选择。建议先在非生产环境试用,再逐步推广。

📚 深入学习 xalgorix Agent工作流
查看分步骤安装教程和完整使用指南,快速上手这款工具
🌐 原始信息
原始名称 xalgorix
原始描述 开源AI工作流:Xalgorix - The Most Powerful Open-Source AI Pentesting Agent。⭐219 · Go
Topics AI安全测试渗透测试开源工具工作流自动化漏洞挖掘
GitHub https://github.com/xalgord/xalgorix
License MIT
语言 Go
🔗 原始来源
🐙 GitHub 仓库  https://github.com/xalgord/xalgorix 🌐 官方网站  https://www.xalgorix.com

收录时间:2026-05-16 · 更新时间:2026-05-19 · License:MIT · AI Skill Hub 不对第三方内容的准确性作法律背书。

📺 订阅 AI Skill Hub Daily Telegram 频道
每天 8 条精选 AI Skill、MCP、Agent 与自动化工具推送
加入频道 →