====== Shannon – autonomní AI pentester pro webové aplikace a API ======

> **Poznámka:** Tento článek je zatím rozpracovaný. Projekt ještě nebyl ověřený v praxi a text vychází hlavně z informací uvedených v oficiálním GitHub repozitáři.

Shannon je podle autorů autonomní white-box AI pentester pro webové aplikace a API. Kombinuje analýzu zdrojového kódu s reálným pokoušením o exploitaci a do výsledného reportu zahrnuje jen zranitelnosti, pro které vznikl funkční proof of concept.

===== Co Shannon umí =====

  * Pracuje nad zdrojovým kódem aplikace, takže je určený pro white-box testování.
  * Hledá možné cesty útoku a pak je ověřuje proti běžící aplikaci a API.
  * Podle README se zaměřuje hlavně na injection, XSS, SSRF a broken authentication nebo authorization.
  * Používá browser automation i pomocné CLI nástroje jako Nmap, Subfinder, WhatWeb a Schemathesis.
  * Výsledkem má být report jen s ověřenými nálezy a reprodukovatelnými PoC ukázkami.

===== Jak je projekt postavený =====

Repozitář popisuje čtyři hlavní fáze:

  * Reconnaissance - mapování aplikace, endpointů a autentizace.
  * Vulnerability Analysis - paralelní hledání hypoteticky zneužitelných cest.
  * Exploitation - pokus o reálné zneužití nalezených hypotéz.
  * Reporting - sestavení výsledného reportu jen z potvrzených nálezů.

Repozitář obsahuje open-source edici ''Shannon Lite'' pod licencí AGPL-3.0. Vedle toho autoři zmiňují i komerční ''Shannon Pro'', který přidává širší AppSec funkce a hlubší statickou analýzu.

===== Rychlá orientace k nasazení =====

Podle README je potřeba Docker a některý z podporovaných způsobů přístupu k modelům, typicky přes Anthropic API, Claude Code OAuth, AWS Bedrock nebo Google Vertex AI.

Základní spuštění vypadá takto:

<code bash>
git clone https://github.com/KeygraphHQ/shannon.git
cd shannon

export ANTHROPIC_API_KEY="your-api-key"
export CLAUDE_CODE_MAX_OUTPUT_TOKENS=64000

./shannon start URL=https://your-app.com REPO=your-repo
</code>

Parametr ''REPO'' odkazuje na cílový repozitář uložený ve složce ''./repos/''. README uvádí například tento způsob přípravy:

<code bash>
git clone https://github.com/your-org/your-repo.git ./repos/your-repo
</code>

===== Omezení a upozornění =====

  * Shannon Lite je určený jen pro white-box scénář se zdrojovým kódem.
  * Není to pasivní scanner. Nástroj aktivně zkouší exploity, takže může měnit data nebo stav aplikace.
  * README výslovně doporučuje nepouštět Shannon proti produkci.
  * Použití má smysl jen tam, kde existuje explicitní oprávnění k testování.
  * Autoři zároveň upozorňují, že finální report je potřeba lidsky zkontrolovat.

===== Poznámky =====

Na první pohled je zajímavá hlavně kombinace zdrojového kódu, browser automation a pravidla ''no exploit, no report''. Až bude nástroj vyzkoušený v praxi, dává smysl doplnit zkušenosti s reálným nasazením, nároky na konfiguraci a kvalitou výstupních reportů.

===== Zdroje =====

  * [[https://github.com/KeygraphHQ/shannon|KeygraphHQ/shannon na GitHubu]]