请验证我们——而不只是信任我们。
Strix Advanced Tools 免费、开源(MIT),并且为完全离线运行而打造。我们的 Windows 构建尚未使用付费证书进行代码签名——我们是一个小型、独立、零预算的项目,与其掩盖这一点,我们宁愿坦然说明。由于每款工具都是开源的,你无需对任何事情听信我们的一面之词。以下是你亲自核实的方法。
最后更新
📖 源代码是公开的
每款工具都是采用 MIT 许可证的公开 GitHub 仓库。阅读每一行代码、自行重新编译,并确认它所做的与它声称的完全一致。
🔗 构建经过证明
每个版本都附带 GitHub 构建来源证明(SLSA Build L2)——这是一份密码学证据,证明该文件是在 GitHub 的服务器上、由此源代码构建而成,且此后未被改动。
✈️ 没有任何“回传”行为
桌面工具不发起任何网络调用。拔掉网线,它们照常运行;监测你的出站流量,你将一无所见。
验证你的下载
验证是可选的——如果你是从 GitHub 版本发布处下载的,那便已经没有问题。但如果你想确认无误,每个版本都附带一个 SHA256SUMS 文件,以下是据此核对的方法。请将示例文件名替换为你所下载的工具。
🪟 Windows核对校验和
在保存下载文件的文件夹中,运行 PowerShell:
Get-FileHash .\Strix-Inspector-Setup.exe -Algorithm SHA256
将输出的哈希值与 SHA256SUMS 中对应的行进行比对。如果二者完全一致,则该文件与我们发布的内容逐字节相同:
Algorithm Hash Path
--------- ---- ----
SHA256 3F2A… (compare this to the value in SHA256SUMS) …\Strix-Inspector-Setup.exe
🐧 Linux核对校验和
将下载文件及其 SHA256SUMS 放入同一文件夹,然后:
sha256sum -c SHA256SUMS
每个文件返回一个单词的结果——你希望看到 OK:
Strix-Inspector-Setup.exe: OK
🔗 任意操作系统验证构建来源
比校验和更有力:证明该二进制文件是在我们公开的 CI 中、由我们公开的源代码构建而成。需要 GitHub CLI 2.49+: GitHub CLI
gh attestation verify Strix-Inspector-Setup.exe --repo strix-tool/strix-inspector
一行绿色的成功提示,指明生成该文件的确切源代码仓库:
Loaded digest sha256:… for file://Strix-Inspector-Setup.exe
✓ Verification succeeded!
- Source Repository: strix-tool/strix-inspector
- Predicate type: https://slsa.dev/provenance/v1
校验和会在每个 GitHub Release 中发布,并通过 HTTPS 镜像分发——例如 SHA256SUMS。来源证明存储在 GitHub 上,而非由我们保管,因此无论是我们,还是被入侵的下载镜像,都无法伪造它。 SHA256SUMS
哪些数据会离开你的机器
简而言之:对于桌面工具,没有任何数据离开。以下是完整说明——每一行都可以通过抓包来核实。
| 类别 | 具体内容 | 去向 |
| 你处理的文件 | 元数据、磁盘内容、归档文件——在你的机器上就地读写。 | 从不上传。不会向任何地方发送任何内容。 |
|---|
| 你的系统信息 | 主机名、用户名、序列号、IP 地址、硬件——仅在应用内部显示。 | 本地显示;从不传输。 |
|---|
| 设置与报告 | 偏好设置、日志、HTML/PDF 报告。 | 保存在磁盘上(%LOCALAPPDATA% / ~/.config);从不同步到服务器。 |
|---|
| 使用与崩溃分析 | 没有。没有任何分析 SDK、没有遥测、没有回传。 | 从不收集任何数据。 |
|---|
| 网络出站流量(桌面工具) | MetaVault、Pulse、Inspector、Sentinel、Sinkhole、Talon。 | 没有任何出站 socket。断开网络——它们照常运行。 |
|---|
| 网络出站流量(侦察工具) | Vantage 与 Archer——它们的本职工作就是网络。 | 仅在同意确认之后,由你明确触发的无需密钥的公开 API,并受超时限制。 |
杀毒软件与 SmartScreen 警告
由于我们的 Windows 应用未经签名且使用 PyInstaller 打包,Windows SmartScreen 可能会提示 “未知发布者” or “不常被下载,” 而约 70 款杀毒引擎中的少数几款可能会标记该安装程序。 对于全新、未签名的开源软件而言,这是意料之中的——它是一种针对应用打包方式的通用启发式判断,而非检测到真正的恶意软件。
- 为什么会发生: PyInstaller 的引导程序是一种常见的打包格式(恶意软件也在使用它),全新的文件没有任何下载信誉,而未签名的二进制文件会受到“未经证实即视为可疑”的惩罚。
- 真正的证据 是上文提到的校验和与来源证明,以及你可以亲自阅读的源代码——而不是任何厂商的启发式判断。
- 我们的做法: 每当出现误报,我们都会向厂商报告;同时,我们正在申请 SignPath Foundation 面向开源项目的免费代码签名计划,并将随着信誉的积累逐步启用它。
- 请切勿关闭你的杀毒软件。 如果你不确定,请验证校验和,或从源代码运行该工具。
每当一个版本发布后,我们都会为每个构建附上一个实时的 VirusTotal 扫描链接,以便你亲自查看当前结果。我们绝不会发布“扫描无异常”的截图或声称“零检出”——一个你可以点击的实时链接,胜过一张在下个构建就会过时的截图。
阅读源代码
这是最有力的保证。在任意仓库中 grep 搜索 socket、urllib、requests 或 http,亲眼看看哪些代码会触及网络——哪些不会。
威胁模型
- Strix 防范什么
- 通过文件元数据泄露的数据、被丢弃磁盘上可恢复的数据、追踪器/遥测/广告域名、悄无声息的出站连接、未知的自启动项与设备,以及你无法审查的闭源工具。
- Strix 不是什么
- 它不是杀毒软件/EDR,不是沙箱,也不能防御已被入侵的操作系统或已以管理员权限运行的恶意软件。桌面工具呈现信息并按你的指令行事;它们不会实时对抗活跃威胁。
- 信任边界
- 来源证明能证实某个下载是经由 GitHub CI、未经修改地来自此公开源代码。它并不能证明源代码本身无害——这正是开放的 MIT 代码的意义所在,你可以阅读并重新编译它。
发现了漏洞?
请私下报告——请勿为安全漏洞公开提交 issue。每个仓库都有一份 SECURITY.md,其中包含威胁模型和一条协同披露渠道,并已启用 GitHub 私密漏洞报告功能。我们不会进行任何报复,如果你愿意,我们会在致谢中署上你的名字。