开源推荐
morning
GitHub 热门项目:shannon
2026-05-27
1 阅读
GitHub Trending
GitHub 项目:shannon
仓库地址:https://github.com/KeygraphHQ/shannon
星级:43817 | 作者:KeygraphHQ
项目描述:Shannon Lite 是一个用于 Web 应用程序和 API 的自主白盒 AI 渗透测试程序。它会分析您的源代码,识别攻击向量,并执行真正的漏洞利用,以在漏洞到达生产环境之前证明它们。
===================================================
自述文件内容:
>[!注意]
> **[? 日落路由器模式 (claude-code-router)`。 →](https://github.com/KeygraphHQ/shannon/discussions/301)**
# Shannon — Keygraph 的 AI 渗透测试人员
Shannon 是一个用于 Web 应用程序和 API 的自主白盒 AI 渗透测试仪。
它会分析您的源代码,识别攻击向量,并执行真正的漏洞利用,以在漏洞到达生产环境之前证明它们。 ---
---
## 香农是什么?
Shannon是[Keygraph](https://keygraph.io)开发的AI渗透测试人员。它通过将源代码分析与实时利用相结合,对 Web 应用程序及其底层 API 执行白盒安全测试。
Shannon 分析您的 Web 应用程序的源代码以识别潜在的攻击媒介,然后使用浏览器自动化和命令行工具针对正在运行的应用程序及其 API 执行真正的漏洞利用(注入攻击、身份验证绕过、SSRF、XSS)。最终报告中仅包含具有有效概念验证的漏洞。
**香农为何存在**
借助 Claude Code 和 Cursor 等工具,您的团队可以不间断地交付代码。但是你的渗透测试呢?这种情况每年发生一次。这造成了“巨大的”安全漏洞。在剩下的 364 天里,您可能会在不知不觉中将漏洞带入生产环境。
Shannon 通过提供可针对每个构建或版本运行的按需自动化渗透测试来缩小这一差距。
## 香农在行动
Shannon 发现了 OWASP Juice Shop 中的 20 多个漏洞,包括身份验证绕过和数据库泄露。 [完整报告 →](sample-reports/shannon-report-juice-shop.md)
## 特点
- **完全自主操作**:单个命令启动完整的渗透测试。 Shannon 无需手动干预即可处理 2FA/TOTP 登录(包括 SSO)、浏览器导航、利用和报告生成。
- **可重复的概念验证漏洞**:最终报告仅包含通过复制粘贴 PoC 验证的、可利用的发现。无法利用的漏洞不会被报告。
- **OWASP 漏洞覆盖**:识别和验证注入、XSS、SSRF 和损坏的身份验证/授权,以及正在开发的其他类别。
- **代码感知动态测试**:分析源代码以指导攻击策略,然后使用实时浏览器和基于 CLI 的针对正在运行的应用程序的漏洞验证结果。
- **
# Shannon — Keygraph 的 AI 渗透测试人员
它会分析您的源代码,识别攻击向量,并执行真正的漏洞利用,以在漏洞到达生产环境之前证明它们。 ---
---