Shannon – autonomní AI pentester pro webové aplikace a API

Poznámka: Tento článek je zatím rozpracovaný. Projekt ještě nebyl ověřený v praxi a text vychází hlavně z informací uvedených v oficiálním GitHub repozitáři.

Shannon je podle autorů autonomní white-box AI pentester pro webové aplikace a API. Kombinuje analýzu zdrojového kódu s reálným pokoušením o exploitaci a do výsledného reportu zahrnuje jen zranitelnosti, pro které vznikl funkční proof of concept.

• Pracuje nad zdrojovým kódem aplikace, takže je určený pro white-box testování.
• Hledá možné cesty útoku a pak je ověřuje proti běžící aplikaci a API.
• Podle README se zaměřuje hlavně na injection, XSS, SSRF a broken authentication nebo authorization.
• Používá browser automation i pomocné CLI nástroje jako Nmap, Subfinder, WhatWeb a Schemathesis.
• Výsledkem má být report jen s ověřenými nálezy a reprodukovatelnými PoC ukázkami.

Repozitář popisuje čtyři hlavní fáze:

• Reconnaissance - mapování aplikace, endpointů a autentizace.
• Vulnerability Analysis - paralelní hledání hypoteticky zneužitelných cest.
• Exploitation - pokus o reálné zneužití nalezených hypotéz.
• Reporting - sestavení výsledného reportu jen z potvrzených nálezů.

Repozitář obsahuje open-source edici Shannon Lite pod licencí AGPL-3.0. Vedle toho autoři zmiňují i komerční Shannon Pro, který přidává širší AppSec funkce a hlubší statickou analýzu.

Podle README je potřeba Docker a některý z podporovaných způsobů přístupu k modelům, typicky přes Anthropic API, Claude Code OAuth, AWS Bedrock nebo Google Vertex AI.

Základní spuštění vypadá takto:

git clone https://github.com/KeygraphHQ/shannon.git
cd shannon
 
export ANTHROPIC_API_KEY="your-api-key"
export CLAUDE_CODE_MAX_OUTPUT_TOKENS=64000
 
./shannon start URL=https://your-app.com REPO=your-repo

Parametr REPO odkazuje na cílový repozitář uložený ve složce ./repos/. README uvádí například tento způsob přípravy:

git clone https://github.com/your-org/your-repo.git ./repos/your-repo

• Shannon Lite je určený jen pro white-box scénář se zdrojovým kódem.
• Není to pasivní scanner. Nástroj aktivně zkouší exploity, takže může měnit data nebo stav aplikace.
• README výslovně doporučuje nepouštět Shannon proti produkci.
• Použití má smysl jen tam, kde existuje explicitní oprávnění k testování.
• Autoři zároveň upozorňují, že finální report je potřeba lidsky zkontrolovat.

Na první pohled je zajímavá hlavně kombinace zdrojového kódu, browser automation a pravidla no exploit, no report. Až bude nástroj vyzkoušený v praxi, dává smysl doplnit zkušenosti s reálným nasazením, nároky na konfiguraci a kvalitou výstupních reportů.

• KeygraphHQ/shannon na GitHubu