Shannon–白盒AI渗透测试工具(Github45.4kstar)

admin 2026-07-09 07:02:47 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Shannon是一款自主运行的白盒AI渗透测试工具,适用于Web应用和API。它通过四阶段工作流(侦察、漏洞分析、利用、报告)全自动运行,能分析源代码并执行真实攻击。配置需安装Docker、Node.js18+和AnthropicAPIKey,并加入Anthropic的网络验证计划。工具在XBOW基准测试中得分为96.15%,使用AGPL-3.0许可证,可免费自托管。重要限制包括仅限授权测试、发送源代码到Anthropic服务器以及当前版本运行于ClaudeOpus4.7。 综合评分: 86 文章分类: 渗透测试,AI安全,安全工具,漏洞分析,红队


cover_image

Shannon – 白盒 AI 渗透测试工具(Github45.4k star)

原创

卡布奇诺的派对 卡布奇诺的派对

卡布奇诺的派对

2026年7月4日 09:20 河南

在小说阅读器读本章

去阅读

声明:文章内容仅限授权安全测试与学术研究,不得用于任何违法或未授权行为。使用者须自行承担全部法律及连带责任。作者及发布方不承担任何责任。

不想错过任何消息?设置星标⬆

简介

Shannon 是一款自主运行的白盒 AI 渗透测试工具,适用于 Web 应用程序和 API。 它可以分析源代码,识别攻击路径,并执行真实的漏洞利用程序,从而在漏洞进入生产环境之前验证其有效性。借助 Claude Code 和 Cursor 等工具,您的团队可以持续不断地发布代码。但是,您的渗透测试呢?一年一次。这造成了巨大的安全漏洞。在剩下的 364 天里,您可能在不知不觉中将漏洞部署到生产环境中。

四阶段工作流(全自动):

  1. 侦察 —— 映射完整的攻击面
  2. 漏洞分析 —— 读取并解析源代码
  3. 利用 —— 通过 Playwright 执行基于浏览器的实时攻击
  4. 报告 —— 输出带有可逐步复现步骤的概念验证报告

完整配置(5 分钟):

步骤 1:安装前置条件

Docker(工作容器所需) Node.js 18+ Anthropic API Key

步骤 2:加入 Anthropic 的网络验证计划(Cyber Verification Program)

访问 http://anthropic.com/security 并申请该计划 免费,Anthropic 会在 2 个工作日内回复 Shannon v1.2.0 现运行于 Claude Opus 4.7,该模型在扫描过程中会对高风险安全请求启用自动拦截。如果未加入 CVP,扫描会在中途被阻断。

步骤 3:一次性配置 Shannon

运行:npx @keygraph/shannon setup 交互式向导会处理你的凭证 仅需一次配置

步骤 4:运行你的第一次渗透测试

npx @keygraph/shannon start -u https://your-app.com -r /path/to/your-repo 首次运行会下载一个约 1GB 的 Docker 镜像 完整扫描耗时约 1 到 1.5 小时

步骤 5:阅读报告

打开:shannon/repos/your-repo/deliverables/ comprehensive_security_assessment_report.md 为完整摘要 每个发现都包含可复现的概念验证步骤及修复建议

重要说明:

  • 仅限授权测试。仅可用于你拥有或已获得书面测试许可的应用。
  • 仅限预发布或沙箱环境。切勿在生产环境运行 —— 因为它会执行真实攻击。
  • Shannon 会将你的源代码发送至 Anthropic 的服务器,不适用于受监管的代码库。
  • 当前版本(v1.2.0)运行于 Claude Opus 4.7。之前 50 美元的估算基于 Claude Sonnet —— 大规模运行前请先查看当前的 Anthropic API 定价,实际成本会更高。
  • 在 XBOW 基准测试中得分为 96.15%(白盒模式,与黑盒结果不具直接可比性)。
  • 时间编排器可处理崩溃并从上一个检查点自动恢复。
  • AGPL-3.0 许可证,可免费自托管。
  • http://github.com/KeygraphHQ/shannon

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:卡布奇诺的派对 卡布奇诺的派对 卡布奇诺的派对《Shannon – 白盒 AI 渗透测试工具(Github45.4k star)》

永久会员即将取消 网络安全文章

永久会员即将取消

文章总结: 本文为网络安全知识付费社群的推广软文。社群宣称由资深专家主导,提供涵盖攻防对抗、CTF及渗透测试等领域的海量笔记与资料。文章通过宣称永久会员即将取消
笔记补档|数字取证概述 网络安全文章

笔记补档|数字取证概述

文章总结: 本文概述数字取证流程与核心技术。取证依NIST标准分收集、检验、分析与报告四阶段,涵盖计算机及云端等场景。文章强调证据获取须遵循合法授权与监管链管控
评论:0   参与:  0