ai:prakticke-aplikace:shannon

Shannon – autonomní AI pentester pro webové aplikace a API

Poznámka: Tento článek je zatím rozpracovaný. Projekt ještě nebyl ověřený v praxi a text vychází hlavně z informací uvedených v oficiálním GitHub repozitáři.

Shannon je podle autorů autonomní white-box AI pentester pro webové aplikace a API. Kombinuje analýzu zdrojového kódu s reálným pokoušením o exploitaci a do výsledného reportu zahrnuje jen zranitelnosti, pro které vznikl funkční proof of concept.

Co Shannon umí

  • Pracuje nad zdrojovým kódem aplikace, takže je určený pro white-box testování.
  • Hledá možné cesty útoku a pak je ověřuje proti běžící aplikaci a API.
  • Podle README se zaměřuje hlavně na injection, XSS, SSRF a broken authentication nebo authorization.
  • Používá browser automation i pomocné CLI nástroje jako Nmap, Subfinder, WhatWeb a Schemathesis.
  • Výsledkem má být report jen s ověřenými nálezy a reprodukovatelnými PoC ukázkami.

Jak je projekt postavený

Repozitář popisuje čtyři hlavní fáze:

  • Reconnaissance - mapování aplikace, endpointů a autentizace.
  • Vulnerability Analysis - paralelní hledání hypoteticky zneužitelných cest.
  • Exploitation - pokus o reálné zneužití nalezených hypotéz.
  • Reporting - sestavení výsledného reportu jen z potvrzených nálezů.

Repozitář obsahuje open-source edici Shannon Lite pod licencí AGPL-3.0. Vedle toho autoři zmiňují i komerční Shannon Pro, který přidává širší AppSec funkce a hlubší statickou analýzu.

Rychlá orientace k nasazení

Podle README je potřeba Docker a některý z podporovaných způsobů přístupu k modelům, typicky přes Anthropic API, Claude Code OAuth, AWS Bedrock nebo Google Vertex AI.

Základní spuštění vypadá takto: 

git clone https://github.com/KeygraphHQ/shannon.git
cd shannon
 
export ANTHROPIC_API_KEY="your-api-key"
export CLAUDE_CODE_MAX_OUTPUT_TOKENS=64000
 
./shannon start URL=https://your-app.com REPO=your-repo

Parametr REPO odkazuje na cílový repozitář uložený ve složce ./repos/. README uvádí například tento způsob přípravy: 

git clone https://github.com/your-org/your-repo.git ./repos/your-repo

Omezení a upozornění

  • Shannon Lite je určený jen pro white-box scénář se zdrojovým kódem.
  • Není to pasivní scanner. Nástroj aktivně zkouší exploity, takže může měnit data nebo stav aplikace.
  • README výslovně doporučuje nepouštět Shannon proti produkci.
  • Použití má smysl jen tam, kde existuje explicitní oprávnění k testování.
  • Autoři zároveň upozorňují, že finální report je potřeba lidsky zkontrolovat.

Poznámky

Na první pohled je zajímavá hlavně kombinace zdrojového kódu, browser automation a pravidla no exploit, no report. Až bude nástroj vyzkoušený v praxi, dává smysl doplnit zkušenosti s reálným nasazením, nároky na konfiguraci a kvalitou výstupních reportů.

Zdroje

  • ai/prakticke-aplikace/shannon.txt
  • Poslední úprava: 2026/03/11 05:22
  • autor: Petr Nosek