Um pentester de IA autônomo e white-box para aplicações web e APIs; ele analisa seu código-fonte, identifica caminhos de ataque e executa exploits reais para comprovar vulnerabilidades com uma prova de conceito funcional. Execute localmente (código aberto) ou pela plataforma Keygraph.
O que faz
Shannon é um pentester de IA autônomo e white-box para aplicações web e APIs, desenvolvido pela Keygraph. Ele combina análise de código-fonte com exploração ao vivo via navegador e CLI, reportando apenas vulnerabilidades que consegue comprovar com uma prova de conceito funcional.
Shannon, da Keygraph, é um pentester de IA autônomo e white-box para aplicações web e APIs. Ele combina análise de código-fonte com exploração ao vivo: lê o código da sua aplicação para mapear caminhos de ataque realistas, depois usa automação de navegador e ferramentas de linha de comando para executar exploits reais contra o app em execução, e reporta apenas vulnerabilidades com uma prova de conceito funcional - comprovação por exploração, não avisos especulativos. A premissa é que as equipes lançam código constantemente, mas realizam pentest apenas uma vez por ano; por isso, Shannon oferece testes sob demanda que podem ser executados a cada build.
Este repositório é o Shannon Open Source: o agente CLI standalone que você executa por conta própria, licenciado sob AGPL-3.0. Um único comando executa reconhecimento, análise de vulnerabilidades, exploração e geração de relatório; ele baixa uma imagem Docker de trabalho, monta seu repositório de destino somente leitura e grava um relatório Markdown local, com suporte a testes autenticados (fluxos de login, TOTP, regras de engajamento) e execuções retomáveis. A cobertura foca em problemas exploráveis da OWASP: injeção, XSS, SSRF, autenticação quebrada e autorização quebrada. O mesmo mecanismo alimenta a plataforma comercial Keygraph para pentesting contínuo e empresarial. Como Shannon executa exploits ativamente, utilize-o apenas contra sistemas que você possui ou está explicitamente autorizado a testar - nunca em produção.
Recursos
Notas de campo
Revisado em Jun 21, 2026
Ideal para
Resultados para quem cria
Atenção
Testado com
Custo
CLI de código aberto gratuito (AGPL-3.0); plataforma comercial Keygraph para uso contínuo e empresarial.
Privacidade
Executa localmente e monta seu repositório somente leitura. Ele executa exploits ativamente - use apenas contra sistemas que você possui ou está autorizado a testar, nunca em produção.
Aprofunde-se
HN thread directly on Shannon's #1 GitHub debut as a Claude-powered AI pentester, with practitioner debate on abuse potential, white-hat scope, and script-kiddie democratisation.
Independent technical analysis of Shannon's proof-by-exploitation methodology—how it differs from SAST by only surfacing vulnerabilities with working PoC exploits.
Candid independent blog post clarifying Shannon's architecture at the intersection of AI, security, and CI/CD, with honest corrections of common misunderstandings about the tool.
É um pentester de IA autônomo e white-box que lê seu código-fonte para planejar ataques, depois executa exploits reais contra a aplicação web e APIs em execução, reportando apenas descobertas que consegue comprovar com uma prova de conceito funcional.
Use o fluxo com npx (npx @keygraph/shannon setup e depois start) com Docker e credenciais do provedor de IA; ele monta seu repositório somente leitura e grava um relatório local. Execute apenas contra aplicações que você possui ou está autorizado a testar, nunca em produção.
O Shannon Open Source é o CLI gratuito, licenciado sob AGPL-3.0, que você executa por conta própria. A plataforma comercial Keygraph adiciona varredura contínua, gerenciamento de descobertas, remediação automatizada e implantação empresarial sobre o mesmo mecanismo.
Crashland@crashlandenx
“Security testing that's actually auditable. Shannon changes the game: • White-box AI pentesting—you see the reasoning, not just results • Hunts vulnerabilities across code and infrastructure • Transparent threat detection beats black-box co…”
AI's Nest@ainesthub1
“1/ Developed by Keygraph, Shannon is an open-source AI pentester for web apps and APIs. It analyzes your source code, maps attack paths, and executes real exploits—not just alerts. Unlike traditional scanners, Shannon follows a simple rule:…”
Um scanner de segurança open-source para skills de agentes de IA, detecta vulnerabilidades, padrões maliciosos e riscos de supply chain em 64 padrões antes de você instalar uma skill, com análise estática e avaliação opcional por LLM.
Best for Verificar uma skill de agente de IA antes de instalá-laUm agente harness com CLI e orientado a especificações para Claude Code e Codex, que escaneia sua base de código e executa cada mudança por um pipeline de cinco agentes (escopo, plano, construção, verificação, aprendizado) com uma cadeia de prova auditável.
Best for Trazer estrutura e verificação à codificação com agentesFree repo scanner that checks GitHub and Bitbucket projects for malware, credential stealers, and crypto scams before you run their code.
Best for Developers vetting unfamiliar GitHub or Bitbucket repos before cloning or running them locallyOrquestração open-source da OpenAI para o Codex: transforma o trabalho do projeto em execuções de implementação isoladas e autônomas, para que as equipes gerenciem o trabalho em vez de supervisionar agentes de codificação.
Best for Gerenciar o trabalho em vez de supervisionar agentes de codificaçãoRevisão de código com IA de código aberto, com controle total sobre a escolha do modelo e os custos. Funciona nos seus pull requests no GitHub, GitLab, Bitbucket e Azure, com regras personalizadas em linguagem natural e opções de auto-hospedagem ou nuvem.
Best for Revisão de código com IA e controle sobre modelos e custosO toolkit open-source do GitHub para Spec-Driven Development. A Specify CLI transforma especificações executáveis em implementações funcionais, com suporte a diversos agentes de codificação com IA.
Best for Spec-Driven Development com agentes de IA