# Shannon

By **keygraphhq** · Software & Tools

Un pentester de IA autónomo y de caja blanca para aplicaciones web y APIs; analiza el código fuente, identifica rutas de ataque y ejecuta exploits reales para demostrar vulnerabilidades con una prueba de concepto funcional. Ejecútalo localmente (código abierto) o a través de la plataforma Keygraph.

- Source: https://keygraph.io/
- Repository: https://github.com/KeygraphHQ/shannon
- Install: `npm i shannon`
- Tags: open-source, security, pentesting, cli, agent, docker, appsec, self-hosted
- Pricing: free
- Upvotes: 0

## Features

- Pentester de IA autónomo de caja blanca para aplicaciones web y APIs
- Combina el análisis de código fuente con la explotación en vivo
- Informa únicamente las vulnerabilidades con una prueba de concepto funcional
- Un solo comando ejecuta el reconocimiento, el análisis, la explotación y la generación de informes
- Pruebas autenticadas con flujos de inicio de sesión, TOTP y reglas de compromiso
- Se centra en inyección, XSS, SSRF y fallos de autenticación según OWASP
- CLI de código abierto (AGPL-3.0); también impulsa la plataforma Keygraph

---

Shannon, desarrollado por Keygraph, es un pentester de IA autónomo de caja blanca para aplicaciones web y APIs. Combina el análisis de código fuente con la explotación en vivo: lee el código fuente de tu aplicación para trazar rutas de ataque realistas, luego utiliza automatización del navegador y herramientas de línea de comandos para ejecutar exploits reales contra la aplicación en ejecución, e informa únicamente las vulnerabilidades con una prueba de concepto funcional, demostración por explotación en lugar de advertencias especulativas. La premisa es que los equipos publican código constantemente pero realizan pentests solo una vez al año, por lo que Shannon ofrece pruebas bajo demanda que pueden ejecutarse en cada build.

Este repositorio es Shannon Open Source: el agente CLI independiente que ejecutas tú mismo, con licencia AGPL-3.0. Un único comando ejecuta el reconocimiento, el análisis de vulnerabilidades, la explotación y la generación de informes; descarga una imagen Docker de trabajo, monta tu repositorio de destino en modo solo lectura y genera un informe Markdown local, con soporte para pruebas autenticadas (flujos de inicio de sesión, TOTP, reglas de compromiso) y ejecuciones reanudables. La cobertura se centra en problemas OWASP explotables: inyección, XSS, SSRF, autenticación rota y autorización rota. El mismo motor impulsa la plataforma comercial Keygraph para pentesting empresarial continuo. Dado que Shannon ejecuta exploits de forma activa, úsalo únicamente contra sistemas que te pertenezcan o para los que estés explícitamente autorizado a realizar pruebas, nunca en producción.

## FAQ

### ¿Qué hace Shannon?

Es un pentester de IA autónomo de caja blanca que lee tu código fuente para planificar ataques, luego ejecuta exploits reales contra la aplicación web en ejecución y sus APIs, e informa únicamente los hallazgos que puede demostrar con una prueba de concepto funcional.

### ¿Cómo lo ejecuto?

Usa el flujo de trabajo con npx (npx @keygraph/shannon setup y luego start) con Docker y las credenciales del proveedor de IA; monta tu repositorio en solo lectura y genera un informe local. Ejecútalo únicamente contra aplicaciones que te pertenezcan o para las que estés autorizado a realizar pruebas, nunca en producción.

### ¿Es gratuito?

Shannon Open Source es el CLI gratuito con licencia AGPL-3.0 que ejecutas tú mismo. La plataforma comercial Keygraph añade escaneo continuo, gestión de hallazgos, remediación automatizada y despliegue empresarial sobre el mismo motor.

---
[View on Analog](https://analoghq.ai/es/keygraphhq/software-tools/shannon)