Keygraph выложила в открытый доступ Shannon Lite — автономного AI-пентестера для веб-приложений и API

Keygraph выложила в открытый доступ Shannon Lite — автономного AI-пентестера для веб-приложений и API. Проект позиционируется как инструмент для white-box тестирования: он анализирует исходный код, ищет потенциальные векторы атаки и затем пытается подтвердить найденные проблемы на работающем приложении.

В описании репозитория Shannon Lite называется решением для автоматизированной проверки безопасности перед релизом. Авторы делают акцент на том, что в итоговый отчет попадают только те находки, которые удалось подтвердить на практике, а не просто теоретические подозрения.

Среди заявленных возможностей — автономный запуск теста одной командой, работа с браузерной автоматизацией, генерация воспроизводимых proof-of-concept и параллельная обработка нескольких классов уязвимостей. В README также перечислены поддерживаемые категории проверок, включая инъекции, XSS, SSRF и проблемы аутентификации и авторизации.

Отдельно важно, что речь идет именно о white-box сценарии. Shannon Lite рассчитан на тестирование собственных приложений или систем, к исходному коду которых у команды есть доступ. Авторы прямо указывают, что инструмент ожидает знание структуры репозитория и не позиционируется как универсальное black-box решение для любого сайта.

Проект доступен по лицензии AGPL-3.0 как Shannon Lite. Параллельно Keygraph продвигает коммерческую версию Shannon Pro, где к автономному пентестингу добавлены SAST, SCA, поиск секретов и интеграция в AppSec-пайплайн.

На практике интерес к Shannon связан не столько с самой идеей автоматизации тестов, сколько с тем, что такие системы начинают двигаться от простого поиска паттернов в коде к более полному циклу: анализ, проверка, подтверждение и отчет в одном процессе. Если такие инструменты станут стабильнее, это может заметно изменить подход команд к регулярной проверке безопасности между крупными аудитами.