Shannon(Shannon Lite,由 Keygraph 出品)是一个自主的「白盒 AI 渗透测试器」,面向 Web 应用与 API。它读取你自己应用的源代码识别攻击面,再用浏览器自动化与命令行工具对运行中的应用执行真实的概念验证(PoC)漏洞利用——只有能跑通 PoC、被证实可利用的漏洞才会进最终报告,覆盖注入、XSS、SSRF、认证/授权绕过等 OWASP 类别。它强调白盒(需要源代码与仓库布局),目标是把「一年一次的渗透测试」变成「每次构建/发布都能跑」的按需自动化安全测试。TypeScript、AGPL-3.0、约 4.35 万星。前置提醒:这是授权安全测试工具,执行真实利用,只应在你拥有或获明确授权的系统上使用。
来源:README What is Shannon/Features/IMPORTANT(white-box)、GitHub meta(KeygraphHQ/shannon,TypeScript,AGPL-3.0,homepage keygraph.io) 查看 GitHub 仓库 →AI 编码让团队天天高频发布代码,但传统渗透测试一年才做一次——其余 364 天可能在不知情中把漏洞带上生产。Shannon 切的正是这个安全缺口:用 AI 做「源代码分析 + 真实利用验证」的自主渗透,能跑在每次构建/发布上,且只报告被 PoC 证实的漏洞(少误报)。它在 OWASP Juice Shop 上识别出 20+ 漏洞含认证绕过与数据库泄露,演示有说服力,AGPL 开源、可 npx 一键跑,背靠商业版 Keygraph,使它成为安全方向的现象级项目(约 4.35 万星)。
来源:README Why Shannon Exists/Shannon in Action、GitHub meta(stars 43546、created_at 2025-09-27、pushed_at 2026-05-20)单条命令启动完整渗透:自动处理 2FA/TOTP 登录(含 SSO)、浏览器导航、漏洞利用与报告生成,无需人工干预;侦察、漏洞分析、利用、报告为多 agent 流水线。
来源:README Features「Fully Autonomous Operation」最终报告只含被真实利用验证的漏洞,附可复制粘贴的 PoC;无法利用的不报告,显著降低误报,让结果直接可信、可复现。
来源:README Features「Reproducible Proof-of-Concept Exploits」白盒分析源代码以指导攻击策略,再用运行中应用的真实浏览器与 CLI 利用来验证发现,覆盖注入、XSS、SSRF、认证/授权失效等 OWASP 类别(更多在开发中)。
来源:README Features「Code-Aware Dynamic Testing」「OWASP Vulnerability Coverage」漏洞分析与利用阶段在所有攻击类别上并发执行,缩短整体渗透时间。
来源:README Features「Parallel Processing」Shannon Lite 是 TypeScript 实现的自主渗透框架,运行在 Docker 中、用 Node 18+ 经 npx 启动。它是一条多 agent 流水线:侦察 → 并行漏洞分析 → 并行利用 → 报告。白盒前提下先对应用源代码做代码审查式分析以圈定攻击面与策略,再驱动浏览器自动化与 CLI 工具对运行中的应用与 API 执行真实利用(注入/XSS/SSRF/认证/授权),仅把跑通 PoC 的漏洞写入报告。仓库含 apps/(核心)、repos/ 与 workspaces/(被测仓库与运行工作区)、sample-reports/(如 Juice Shop 报告)、.claude/ 等。支持多种 AI 提供方(含 AWS Bedrock、Google Vertex、自定义 Base URL)。商业版 Shannon Pro 在此之上加 CPG(代码属性图)数据流 SAST、SCA 可达性、密钥检测、业务逻辑测试与「静态-动态关联」,并支持自托管 runner(源码不出网)。
来源:README Setup/Architecture/Shannon Pro Architecture、仓库目录树(apps/repos/workspaces/sample-reports)中心为项目本体,内环 = 核心功能模块,外环 = 关键技术依赖;按 deep.json 中的 core_features 与 tech_stack.key_deps 自动生成
Docker(运行时)、Node.js 18+、pnpm(构建)浏览器自动化 + CLI 利用工具AI 提供方:Anthropic 等,含 AWS Bedrock / G…面向对自己的 Web 应用/API 做安全测试的开发与安全团队:在每次构建或发布时跑一次自主白盒渗透,提前发现并以 PoC 证实注入、XSS、SSRF、认证/授权等漏洞,把「年度一次」补成「持续进行」,并据报告里的可复现 PoC 与(Pro 版的)源码定位去修复。也适合安全研究与教学(如对 OWASP Juice Shop 这类靶场练习)。前提是仅用于自有或获授权资产——它执行真实利用,不得用于未授权目标。
来源:README Why Shannon Exists/Shannon in Action/FeaturesShannon Lite 以 npx/clone&build 分发、Docker 运行,多 agent 流水线已覆盖侦察、并行漏洞分析、并行利用与报告,支持 AWS Bedrock/Google Vertex/自定义 Base URL 等提供方,并附 OWASP Juice Shop 等示例报告与基准。商业版 Shannon Pro 增加 CPG 数据流 SAST、SCA 可达性、密钥检测、业务逻辑测试、静态-动态关联与 CI/CD、自托管 runner。仓库最近一次更新在 2026-05-20(README 提示正在 sunset Router 模式)。
来源:README Features/Shannon Pro/Setup、GitHub meta pushed_at 2026-05-20Shannon 把「AI 自主渗透测试」做到了相当实用的程度:白盒读源代码定策略、再用真实利用验证,只报告跑通 PoC 的漏洞(少误报、可复现),还能自动处理登录与导航、并行多类别,让安全测试从「一年一次」变成「每次发布都能跑」,OWASP Juice Shop 上 20+ 漏洞的演示很有说服力,AGPL 开源、可本地跑、近 4.4 万星。它属于授权安全测试工具,对有自有应用要持续做安全的团队价值很大。但必须守住边界:它执行真实利用,只能用于你拥有或获明确授权的系统,且需白盒源码、应在隔离环境运行;Lite 的分析深度有限(高级 SAST/业务逻辑在 Pro 版)。在合规、授权的前提下,它是一个分量很重的自动化 AppSec 工具。
来源:综合 README、Features、Shannon Pro 与 GitHub meta 的事实判断