ai:platformy:shannon

Toto je starší verze dokumentu!

Shannon

Poznamka: Tento clanek je zatim rozpracovany. Projekt jeste nebyl overeny v praxi a text vychazi hlavne z informaci uvedenych v oficialnim GitHub repozitari.

Shannon je podle autoru autonomni white-box AI pentester pro webove aplikace a API. Kombinuje analyzu zdrojoveho kodu s realnym pokousenim o exploitaci a do vysledneho reportu zahrnuje jen zranitelnosti, pro ktere vznikl funkcni proof of concept.

Co Shannon umi

  • Pracuje nad zdrojovym kodem aplikace, takze je urceny pro white-box testovani.
  • Hleda mozne cesty utoku a pak je overuje proti bezici aplikaci a API.
  • Podle README se zameruje hlavne na injection, XSS, SSRF a broken authentication nebo authorization.
  • Pouziva browser automation i pomocne CLI nastroje jako Nmap, Subfinder, WhatWeb a Schemathesis.
  • Vysledkem ma byt report jen s overenymi nalezy a reprodukovatelnymi PoC ukazkami.

Jak je projekt postaveny

Repozitar popisuje ctyri hlavni faze:

  • Reconnaissance - mapovani aplikace, endpointu a autentizace.
  • Vulnerability Analysis - paralelni hledani hypoteticky zneuzitelnych cest.
  • Exploitation - pokus o realne zneuziti nalezenych hypotez.
  • Reporting - sestaveni vysledneho reportu jen z potvrzenych nalezu.

Repozitar obsahuje open-source edici Shannon Lite pod licenci AGPL-3.0. Vedle toho autori zminuji i komercni Shannon Pro, ktery pridava sirsi AppSec funkce a hlubsi statickou analyzu.

Rychla orientace k nasazeni

Podle README je potreba Docker a nektery z podporovanych zpusobu pristupu k modelum, typicky pres Anthropic API, Claude Code OAuth, AWS Bedrock nebo Google Vertex AI.

Zakladni spusteni vypada takto: 

git clone https://github.com/KeygraphHQ/shannon.git
cd shannon
 
export ANTHROPIC_API_KEY="your-api-key"
export CLAUDE_CODE_MAX_OUTPUT_TOKENS=64000
 
./shannon start URL=https://your-app.com REPO=your-repo

Parametr REPO odkazuje na cilovy repozitar ulozeny ve slozce ./repos/. README uvadi napriklad tento zpusob pripravy: 

git clone https://github.com/your-org/your-repo.git ./repos/your-repo

Omezeni a upozorneni

  • Shannon Lite je urceny jen pro white-box scenar se zdrojovym kodem.
  • Neni to pasivni scanner. Nastroj aktivne zkousi exploity, takze muze menit data nebo stav aplikace.
  • README vyslovne doporucuje nepoustet Shannon proti produkci.
  • Pouziti ma smysl jen tam, kde existuje explicitni opravneni k testovani.
  • Autori zaroven upozornuji, ze finalni report je potreba lidsky zkontrolovat.

Poznamky

Na prvni pohled je zajimava hlavne kombinace zdrojoveho kodu, browser automation a pravidla no exploit, no report. Az bude nastroj vyzkouseny v praxi, dava smysl doplnit zkusenosti s realnym nasazenim, naroky na konfiguraci a kvalitou vystupnich reportu.

Zdroje

  • ai/platformy/shannon.1773205720.txt.gz
  • Poslední úprava: 2026/03/11 05:08
  • autor: Petr Nosek