Un pentester de IA autónomo y de caja blanca para aplicaciones web y APIs; analiza el código fuente, identifica rutas de ataque y ejecuta exploits reales para demostrar vulnerabilidades con una prueba de concepto funcional. Ejecútalo localmente (código abierto) o a través de la plataforma Keygraph.
Qué hace
Shannon es un pentester de IA autónomo de caja blanca para aplicaciones web y APIs, desarrollado por Keygraph. Combina el análisis de código fuente con la explotación en vivo mediante navegador y CLI, e informa únicamente las vulnerabilidades que puede demostrar con una prueba de concepto funcional.
Shannon, desarrollado por Keygraph, es un pentester de IA autónomo de caja blanca para aplicaciones web y APIs. Combina el análisis de código fuente con la explotación en vivo: lee el código fuente de tu aplicación para trazar rutas de ataque realistas, luego utiliza automatización del navegador y herramientas de línea de comandos para ejecutar exploits reales contra la aplicación en ejecución, e informa únicamente las vulnerabilidades con una prueba de concepto funcional, demostración por explotación en lugar de advertencias especulativas. La premisa es que los equipos publican código constantemente pero realizan pentests solo una vez al año, por lo que Shannon ofrece pruebas bajo demanda que pueden ejecutarse en cada build.
Este repositorio es Shannon Open Source: el agente CLI independiente que ejecutas tú mismo, con licencia AGPL-3.0. Un único comando ejecuta el reconocimiento, el análisis de vulnerabilidades, la explotación y la generación de informes; descarga una imagen Docker de trabajo, monta tu repositorio de destino en modo solo lectura y genera un informe Markdown local, con soporte para pruebas autenticadas (flujos de inicio de sesión, TOTP, reglas de compromiso) y ejecuciones reanudables. La cobertura se centra en problemas OWASP explotables: inyección, XSS, SSRF, autenticación rota y autorización rota. El mismo motor impulsa la plataforma comercial Keygraph para pentesting empresarial continuo. Dado que Shannon ejecuta exploits de forma activa, úsalo únicamente contra sistemas que te pertenezcan o para los que estés explícitamente autorizado a realizar pruebas, nunca en producción.
Características
Notas de campo
Revisado el Jun 21, 2026
Ideal para
Resultados para creadores
Ten cuidado
Probado con
Costo
CLI de código abierto gratuito (AGPL-3.0); plataforma comercial Keygraph para uso empresarial continuo.
Privacidad
Se ejecuta localmente y monta tu repositorio en solo lectura. Ejecuta exploits de forma activa; úsalo únicamente contra sistemas que te pertenezcan o para los que estés autorizado a realizar pruebas, nunca en producción.
Profundiza
HN thread directly on Shannon's #1 GitHub debut as a Claude-powered AI pentester, with practitioner debate on abuse potential, white-hat scope, and script-kiddie democratisation.
Independent technical analysis of Shannon's proof-by-exploitation methodology—how it differs from SAST by only surfacing vulnerabilities with working PoC exploits.
Candid independent blog post clarifying Shannon's architecture at the intersection of AI, security, and CI/CD, with honest corrections of common misunderstandings about the tool.
Es un pentester de IA autónomo de caja blanca que lee tu código fuente para planificar ataques, luego ejecuta exploits reales contra la aplicación web en ejecución y sus APIs, e informa únicamente los hallazgos que puede demostrar con una prueba de concepto funcional.
Usa el flujo de trabajo con npx (npx @keygraph/shannon setup y luego start) con Docker y las credenciales del proveedor de IA; monta tu repositorio en solo lectura y genera un informe local. Ejecútalo únicamente contra aplicaciones que te pertenezcan o para las que estés autorizado a realizar pruebas, nunca en producción.
Shannon Open Source es el CLI gratuito con licencia AGPL-3.0 que ejecutas tú mismo. La plataforma comercial Keygraph añade escaneo continuo, gestión de hallazgos, remediación automatizada y despliegue empresarial sobre el mismo motor.
Crashland@crashlandenx
“Security testing that's actually auditable. Shannon changes the game: • White-box AI pentesting—you see the reasoning, not just results • Hunts vulnerabilities across code and infrastructure • Transparent threat detection beats black-box co…”
AI's Nest@ainesthub1
“1/ Developed by Keygraph, Shannon is an open-source AI pentester for web apps and APIs. It analyzes your source code, maps attack paths, and executes real exploits—not just alerts. Unlike traditional scanners, Shannon follows a simple rule:…”
Un escáner de seguridad de código abierto para skills de agentes de IA que detecta vulnerabilidades, patrones maliciosos y riesgos en la cadena de suministro a través de 64 patrones antes de instalar una skill, con análisis estático y evaluación semántica opcional mediante LLM.
Best for Verificar una skill de agente de IA antes de instalarlaUn harness de agente basado en CLI y especificaciones para Claude Code y Codex: analiza tu base de código y ejecuta cada cambio a través de un pipeline de cinco agentes (scope, plan, build, verify, learn) con una cadena de pruebas auditable.
Best for Incorporar estructura y verificación al desarrollo con agentesFree repo scanner that checks GitHub and Bitbucket projects for malware, credential stealers, and crypto scams before you run their code.
Best for Developers vetting unfamiliar GitHub or Bitbucket repos before cloning or running them locallyEl sistema de orquestación de código abierto de OpenAI para Codex, convierte el trabajo de un proyecto en ejecuciones de implementación aisladas y autónomas para que los equipos gestionen el trabajo en lugar de supervisar agentes de codificación.
Best for Gestionar el trabajo en lugar de supervisar agentes de codificaciónRevisión de código con IA de código abierto, con control total sobre la elección del modelo y los costos. Se ejecuta en tus pull requests en GitHub, GitLab, Bitbucket y Azure, con reglas personalizadas en lenguaje natural y opciones de alojamiento propio o en la nube.
Best for Revisión de código con IA con control sobre los modelos y el costoEl kit de herramientas de código abierto de GitHub para el Desarrollo Guiado por Especificaciones. La CLI Specify convierte especificaciones ejecutables en implementaciones funcionales, con soporte para muchos agentes de codificación con IA.
Best for Desarrollo Guiado por Especificaciones con agentes de IA