# Shannon

By **keygraphhq** · Software & Tools

Um pentester de IA autônomo e white-box para aplicações web e APIs; ele analisa seu código-fonte, identifica caminhos de ataque e executa exploits reais para comprovar vulnerabilidades com uma prova de conceito funcional. Execute localmente (código aberto) ou pela plataforma Keygraph.

- Source: https://keygraph.io/
- Repository: https://github.com/KeygraphHQ/shannon
- Install: `npm i shannon`
- Tags: open-source, security, pentesting, cli, agent, docker, appsec, self-hosted
- Pricing: free
- Upvotes: 0

## Features

- Pentester de IA autônomo e white-box para aplicações web e APIs
- Combina análise de código-fonte com exploração ao vivo
- Reporta apenas vulnerabilidades com uma prova de conceito funcional
- Um único comando executa reconhecimento, análise, exploração e geração de relatório
- Testes autenticados com fluxos de login, TOTP e regras de engajamento
- Foco em injeção, XSS, SSRF e falhas de autenticação da OWASP
- CLI de código aberto (AGPL-3.0); também alimenta a plataforma Keygraph

---

Shannon, da Keygraph, é um pentester de IA autônomo e white-box para aplicações web e APIs. Ele combina análise de código-fonte com exploração ao vivo: lê o código da sua aplicação para mapear caminhos de ataque realistas, depois usa automação de navegador e ferramentas de linha de comando para executar exploits reais contra o app em execução, e reporta apenas vulnerabilidades com uma prova de conceito funcional - comprovação por exploração, não avisos especulativos. A premissa é que as equipes lançam código constantemente, mas realizam pentest apenas uma vez por ano; por isso, Shannon oferece testes sob demanda que podem ser executados a cada build.

Este repositório é o Shannon Open Source: o agente CLI standalone que você executa por conta própria, licenciado sob AGPL-3.0. Um único comando executa reconhecimento, análise de vulnerabilidades, exploração e geração de relatório; ele baixa uma imagem Docker de trabalho, monta seu repositório de destino somente leitura e grava um relatório Markdown local, com suporte a testes autenticados (fluxos de login, TOTP, regras de engajamento) e execuções retomáveis. A cobertura foca em problemas exploráveis da OWASP: injeção, XSS, SSRF, autenticação quebrada e autorização quebrada. O mesmo mecanismo alimenta a plataforma comercial Keygraph para pentesting contínuo e empresarial. Como Shannon executa exploits ativamente, utilize-o apenas contra sistemas que você possui ou está explicitamente autorizado a testar - nunca em produção.

## FAQ

### O que o Shannon faz?

É um pentester de IA autônomo e white-box que lê seu código-fonte para planejar ataques, depois executa exploits reais contra a aplicação web e APIs em execução, reportando apenas descobertas que consegue comprovar com uma prova de conceito funcional.

### Como faço para executá-lo?

Use o fluxo com npx (npx @keygraph/shannon setup e depois start) com Docker e credenciais do provedor de IA; ele monta seu repositório somente leitura e grava um relatório local. Execute apenas contra aplicações que você possui ou está autorizado a testar, nunca em produção.

### É gratuito?

O Shannon Open Source é o CLI gratuito, licenciado sob AGPL-3.0, que você executa por conta própria. A plataforma comercial Keygraph adiciona varredura contínua, gerenciamento de descobertas, remediação automatizada e implantação empresarial sobre o mesmo mecanismo.

---
[View on Analog](https://analoghq.ai/pt-br/keygraphhq/software-tools/shannon)