GitHub - KeygraphHQ/shannon:Webアプリの実際の脆弱性を発見するための完全自律型AIハッカー。Shannonは、ヒントなしのソース認識型XBOWベンチマークで96.15%の成功率を達成しました。
概要
KeygraphHQによって開発されたShannonは、迅速なコードデプロイと不定期なペネトレーションテストの間のセキュリティギャップを埋めるために設計された、完全自律型のAIペンテスターです。これはオンデマンドのホワイトボックスペンテスターとして機能し、ソースコードを分析し、実際のブラウザベースの攻撃(注入や認証バイパスなど)を実行して脆弱性の明確な証拠を提供し、ヒントなしのソース認識型XBOWベンチマークで96.15%の成功率を達成しました。
このツールは、偵察、並行する脆弱性分析、実証(実証された脆弱性のみを報告)、およびレポート作成という4つのフェーズを通じて自律的に動作し、誤検知を最小限に抑えます。Shannonは、インジェクション、XSS、SSRF、認証/認可の欠陥など、重要なOWASPの脆弱性をカバーしています。ソースコードへのアクセスが必要であり、AnthropicのClaudeなどのAIプロバイダーを利用しますが、AWS BedrockやGoogle Vertex AIのオプションサポートもあります。
Shannonには、Shannon Lite(AGPL-3.0、研究者/小規模チーム向け)とShannon Pro(エンタープライズ向けCI/CD統合機能付きの商用版)の2つのエディションがあります。積極的な攻撃による変異の可能性があるため、ユーザーは本番環境以外でのみテストを実行する必要があります。
(出典:GitHub)