Я слежу за инструментами безопасности на базе ИИ давно. Большинство из них — это сканеры уязвимостей с ИИ-обёрткой, которые выдают список предупреждений без доказательств.
Shannon
работает по-другому: если не смог эксплойт воспроизвести — не включает в отчёт. Ноль ложных срабатываний как принцип работы.
Что такое Shannon
Shannon
— автономный ИИ-пентестер для веб-приложений и API с открытым исходным кодом, разработанный командой
Keygraph
. Написан на
TypeScript
, лицензия
AGPL-3.0
, репозиторий набрал
32 800+ звёзд
на GitHub.
Принцип работы: анализирует исходный код приложения (white-box подход), выявляет потенциальные векторы атак, затем выполняет реальные эксплойты против работающего приложения. В итоговый отчёт попадают только уязвимости с работающим proof-of-concept.
Важный контекст:
авторы прямо объясняют зачем это нужно. Инструменты вроде
Claude Code
и
Cursor
позволяют командам шипить код непрерывно. Но пентест происходит раз в год.
Shannon
закрывает этот разрыв — автоматический пентест на каждый релиз.
Бенчмарк: 96.15% на XBOW
На независимом бенчмарке
XBOW
(без подсказок, с доступом к исходникам)
Shannon Lite
успешно воспроизвёл
100 из 104 эксплойтов
— результат
96.15%
Для сравнения: большинство коммерческих SAST-инструментов не воспроизводят эксплойты вообще — они только указывают на потенциальные проблемы.
Как работает: 5 фаз пентеста
Shannon
запускает 5 последовательных фаз, часть из которых выполняется параллельно:
Фаза 1 — Pre-Recon:
внешнее сканирование через
Nmap
Subfinder
WhatWeb
+ анализ исходного кода для выявления фреймворка и точек входа.
Фаза 2 — Reconnaissance:
браузерная автоматизация для построения карты атакуемой поверхности. Живое взаимодействие с приложением + данные из кода.
Фаза 3 — Vulnerability Analysis:
5 параллельных агентов по категориям OWASP:
Injection
XSS
SSRF
Authentication
Authorization
. Каждый выполняет трассировку потоков данных от пользовательского ввода до опасных синков.
Фаза 4 — Exploitation:
отдельные агенты получают гипотезы от фазы 3 и выполняют реальные атаки через браузерную автоматизацию и CLI-инструменты. Правило:
нет эксплойта — нет записи в отчёт
Фаза 5 — Reporting:
сборка финального отчёта только из подтверждённых находок с воспроизводимыми PoC.
Какие уязвимости ищет
Текущее покрытие
Shannon Lite
Injection
— SQL, команды, другие виды инъекций
XSS
— межсайтовый скриптинг
SSRF
— Server-Side Request Forgery
Broken Authentication
— обход аутентификации
Broken Authorization
— обход авторизации, IDOR
Используемые инструменты разведки:
Nmap
Subfinder
WhatWeb
Schemathesis
Реальные результаты на известных уязвимых приложениях
OWASP Juice Shop:
обнаружено
20+ уязвимостей
, включая обход аутентификации, полную утечку базы пользователей через SQL-инъекцию, IDOR с доступом к чужим корзинам, SSRF для разведки внутренней сети.
c{api}tal API от Checkmarx:
~15 критических уязвимостей. Среди находок — инъекция на уровне root через обход denylist в скрытом debug-эндпоинте, обход аутентификации через legacy API v1.
Ноль ложных срабатываний по XSS
— Shannon правильно подтвердил, что защита от XSS в приложении работает.
OWASP crAPI:
15+ критических уязвимостей. JWT Algorithm Confusion, полная компрометация PostgreSQL через инъекцию, SSRF с перенаправлением внутренних токенов во внешний сервис.
Как запустить
Shannon
работает через
Docker
+
Node.js 18+
. Нужен API-ключ
Anthropic
(официально поддерживаются только модели
Claude
; работает также через
AWS Bedrock
и
Google Vertex AI
Быстрый старт через npx:
Важно:
не запускайте на production. Эксплойт-агенты активно выполняют атаки — могут создавать пользователей, изменять данные, вызывать побочные эффекты. Только для sandbox, staging или локального окружения.
Стоимость прогона:
около
$50
при использовании
Claude Sonnet 4.6
. Время:
1–1.5 часа
Shannon Lite vs Shannon Pro
Возможность
Shannon Lite
Shannon Pro
Лицензия
AGPL-3.0 (открытый)
Коммерческая
Статический анализ
Базовый code review
Полный SAST + SCA + поиск секретов
Динамический пентест
✅ + корреляция static-dynamic
Бизнес-логика
✅ автоматический поиск инвариантов
CI/CD интеграция
Вручную/CLI
Нативная, GitHub PR scanning
Shannon Pro
объединяет SAST, SCA, поиск секретов, тестирование бизнес-логики и автономный пентест в одну платформу с подтверждёнными PoC для каждой находки.
Ограничения Shannon Lite
Shannon
сам честно предупреждает:
Только white-box тестирование (нужен исходный код)
Не покрывает уязвимые сторонние библиотеки (нет SCA)
LLM может галлюцинировать — нужна ручная проверка отчёта
Альтернативные модели (не Claude) официально не поддерживаются
