Shannon 1.1:真的会打洞的渗透Agent
Keygraph的Shannon 4月21日发了v1.1.0,GitHub Trending立刻炸了。39,900颗星,4,400个fork,24小时新增372颗。它是一个全自主、白盒的Web应用和API渗透Agent——这一年冒出来的千把个agent安全产品大多数是把扫描器套个chatbot壳,Shannon是少数真的会对你的应用跑exploit、打进去之后还会给你写可复现POC的那种。
用法一条命令。Shannon读你的源码,做静态分析,提假设,然后一个一个试——SQL注入、XSS、SSRF、认证绕过,OWASP top全覆盖。打中了留payload写报告,没打中就丢掉继续下一个。并行处理意味着一堆假设同时跑,中等规模应用几分钟就审完,人类渗透测试员这活要报价两周。
License设计挺精的。Shannon Lite是AGPL-3.0,内部用随便,想包成SaaS对外卖就得开源。商业版Shannon Pro做SAST、SCA、CI/CD集成给企业买。这跟XBOW、Runsybil、PentAGI的路数一样,但Shannon star数是最近竞品的2到4倍,开发者已经在用脚投票。
为什么这个时点重要。agent安全这个类别这一年有点尴尬——A轮融资不少,白皮书一堆,能下载跑起来的开源实现没几个。Shannon扔了一个自带二进制的AGPL版本,是这个类别第一次有一个可信的开源参考实现。每一个被老板叫去评估AI渗透工具的CISO,现在都可以周五下午装上跑一圈看看效果。
https://github.com/KeygraphHQ/shannon
← 返回所有文章
用法一条命令。Shannon读你的源码,做静态分析,提假设,然后一个一个试——SQL注入、XSS、SSRF、认证绕过,OWASP top全覆盖。打中了留payload写报告,没打中就丢掉继续下一个。并行处理意味着一堆假设同时跑,中等规模应用几分钟就审完,人类渗透测试员这活要报价两周。
License设计挺精的。Shannon Lite是AGPL-3.0,内部用随便,想包成SaaS对外卖就得开源。商业版Shannon Pro做SAST、SCA、CI/CD集成给企业买。这跟XBOW、Runsybil、PentAGI的路数一样,但Shannon star数是最近竞品的2到4倍,开发者已经在用脚投票。
为什么这个时点重要。agent安全这个类别这一年有点尴尬——A轮融资不少,白皮书一堆,能下载跑起来的开源实现没几个。Shannon扔了一个自带二进制的AGPL版本,是这个类别第一次有一个可信的开源参考实现。每一个被老板叫去评估AI渗透工具的CISO,现在都可以周五下午装上跑一圈看看效果。
https://github.com/KeygraphHQ/shannon
评论