ai:platformy:shannon

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
ai:platformy:shannon [2026/03/11 05:09] – Doplneni diakritiky a finalizace clanku o Shannon Petr Nosekai:platformy:shannon [2026/03/11 05:23] (aktuální) – Odkaz na nove kanonicke umisteni clanku Shannon Petr Nosek
Řádek 1: Řádek 1:
 ====== Shannon ====== ====== Shannon ======
  
-> **Poznámka:** Tento článek je zatím rozpracovaný. Projekt ještě nebyl ověřený v praxi a text vychází hlavně z informací uvedených v oficiálním GitHub repozitáři. +Tento článek je přesunutý na [[ai:prakticke-aplikace:shannon|Shannon – autonomní AI pentester pro webové aplikace a API]].
- +
-Shannon je podle autorů autonomní white-box AI pentester pro webové aplikace a API. Kombinuje analýzu zdrojového kódu s reálným pokoušením o exploitaci a do výsledného reportu zahrnuje jen zranitelnosti, pro které vznikl funkční proof of concept. +
- +
-===== Co Shannon umí ===== +
- +
-  * Pracuje nad zdrojovým kódem aplikace, takže je určený pro white-box testování. +
-  * Hledá možné cesty útoku a pak je ověřuje proti běžící aplikaci a API. +
-  * Podle README se zaměřuje hlavně na injection, XSS, SSRF a broken authentication nebo authorization. +
-  * Používá browser automation i pomocné CLI nástroje jako Nmap, Subfinder, WhatWeb a Schemathesis. +
-  * Výsledkem má být report jen s ověřenými nálezy a reprodukovatelnými PoC ukázkami. +
- +
-===== Jak je projekt postavený ===== +
- +
-Repozitář popisuje čtyři hlavní fáze: +
- +
-  * Reconnaissance mapování aplikace, endpointů a autentizace. +
-  * Vulnerability Analysis - paralelní hledání hypoteticky zneužitelných cest. +
-  * Exploitation - pokus o reálné zneužití nalezených hypotéz. +
-  * Reporting - sestavení výsledného reportu jen z potvrzených nálezů. +
- +
-Repozitář obsahuje open-source edici ''Shannon Lite'' pod licencí AGPL-3.0. Vedle toho autoři zmiňují i komerční ''Shannon Pro'', který přidává širší AppSec funkce a hlubší statickou analýzu. +
- +
-===== Rychlá orientace k nasazení ===== +
- +
-Podle README je potřeba Docker a některý z podporovaných způsobů přístupu k modelům, typicky přes Anthropic API, Claude Code OAuth, AWS Bedrock nebo Google Vertex AI. +
- +
-Základní spuštění vypadá takto: +
- +
-<code bash> +
-git clone https://github.com/KeygraphHQ/shannon.git +
-cd shannon +
- +
-export ANTHROPIC_API_KEY="your-api-key" +
-export CLAUDE_CODE_MAX_OUTPUT_TOKENS=64000 +
- +
-./shannon start URL=https://your-app.com REPO=your-repo +
-</code> +
- +
-Parametr ''REPO'' odkazuje na cílový repozitář uložený ve složce ''./repos/''. README uvádí například tento způsob přípravy: +
- +
-<code bash> +
-git clone https://github.com/your-org/your-repo.git ./repos/your-repo +
-</code> +
- +
-===== Omezení a upozornění ===== +
- +
-  * Shannon Lite je určený jen pro white-box scénář se zdrojovým kódem. +
-  * Není to pasivní scanner. Nástroj aktivně zkouší exploity, takže může měnit data nebo stav aplikace+
-  * README výslovně doporučuje nepouštět Shannon proti produkci. +
-  * Použití má smysl jen tam, kde existuje explicitní oprávnění k testování. +
-  * Autoři zároveň upozorňují, že finální report je potřeba lidsky zkontrolovat. +
- +
-===== Poznámky ===== +
- +
-Na první pohled je zajímavá hlavně kombinace zdrojového kódu, browser automation pravidla ''no exploit, no report''. Až bude nástroj vyzkoušený v praxi, dává smysl doplnit zkušenosti s reálným nasazením, nároky na konfiguraci a kvalitou výstupních reportů. +
- +
-===== Zdroje ===== +
- +
-  * [[https://github.com/KeygraphHQ/shannon|KeygraphHQ/shannon na GitHubu]]+
  • ai/platformy/shannon.txt
  • Poslední úprava: 2026/03/11 05:23
  • autor: Petr Nosek