夜雨聆风大多数公司的渗透测试一年只做一次,剩下的364天都处于安全盲区。Keygraph推出的Shannon试图解决这个问题——它不只是扫描源码找“疑似漏洞”,而是真的去攻击你的应用,只报告那些能被打穿的。这篇文章会拆解它的工作方式、优缺点,以及免费版和付费版之间的真实差异。
安全圈的节奏越来越快。你的团队用Claude Code和Cursor拼命发版,代码往生产环境推个不停,但安全测试呢?每年请一次渗透团队来扫一遍,报告交上来,开发照着修,然后继续埋头写新功能。这中间的空档期长得吓人。Keygraph做的Shannon就是冲着这个gap来的。
Shannon的定位很直接——一个能自己动手的全自动白盒渗透测试工具。面向Web应用和API,它能读你的源码,从中找出攻击面,然后用浏览器自动化和命令行工具真的去攻击运行中的应用。关键一句:没有被实际利用成功的漏洞,不会出现在最终报告里。
它到底怎么工作?
先看一组数据。在OWASP Juice Shop这个出了名“全是坑”的测试靶场上,Shannon一次自动扫描揪出20多个漏洞,包括绕过认证直接进后台、通过SQL注入拖走整个用户数据库、利用IDOR漏洞翻别人的购物车。听起来像是高级渗透工程师干的活,但这是AI自己完成的。
整个流程分五步走。第一步叫Pre-Reconnaissance,先扫描源码搞清楚应用框架、入口点、大致攻击面。第二步Reconnaissance是实打实的动态侦察,用浏览器自动化去真实应用里跑一圈,跟第一步的源码分析结果做交叉验证,画出一张完整的攻击面地图。
第三步开始有意思了——五个专项Agent同步启动,分别盯着注入、XSS、认证绕过、越权、SSRF这五类OWASP漏洞做并行分析。每个Agent拿到侦察数据后,各自寻找可能的攻击路径。对于注入和SSRF这类漏洞,Agent会跑结构化的数据流分析,从用户输入点一路追踪到危险的sink函数。
第四步是整套系统的核心:真的动手打。第三步产出的“可疑路径列表”交给专项利用Agent,它们会启动浏览器、调命令行工具、跑定制脚本,尝试把假设变成攻击成果。打不穿的直接丢弃。这个“No Exploit, No Report”机制是Shannon跟传统SAST工具最大的分水岭——传统的静态扫描工具不管你三七二十一,把所有“可能不安全”的地方全报出来,开发者盯着几百条告警头皮发麻,其中一大半在实际环境中根本利用不了。
第五步是汇总,把成功利用的漏洞整理成一份渗透测试报告,每个漏洞附带可复现的PoC,开发者能直接复制粘贴验证。
两个版本,差距不小
Shannon有两个版本。Lite版开源,AGPL-3.0协议,适合开发者跑在自己本地应用上做自测。Pro版是商业产品,Keygraph把它定位成一体化的AppSec平台——不只是渗透测试,还包括SAST、SCA、密钥检测和业务逻辑安全测试,支持CI/CD集成和私有化部署。
说实话,Lite版的静态分析能力比较基础,主要靠代码审查提示。Pro版这边就重多了:先把代码转成Code Property Graph(融合了AST、控制流图、程序依赖图),然后在每个节点上用LLM评估——某个输入经过某个过滤函数后到底安不安全?不是简单地查“白名单函数清单”,而是结合上下文做判断。
Pro版还有一个Lite版没有的能力:业务逻辑安全测试。LLM Agent会分析代码中的业务规则——比如“查文档前必须验证所属组织”——然后自动生成fuzzer去破坏这些规则,最后合成完整的PoC。这种场景下,传统的模式匹配扫描器基本抓瞎。
SCA也不只是看一眼CVE编号就完事。Pro版会通过CPG追踪漏洞函数是否真的能被外部输入触发。那些虽然引入但永远调用不到的漏洞库会被降级处理。这种“reachability analysis”在实战中能省掉大量追查时间。
静态分析和动态测试的关联是Pro版最值得说的一点。SAST阶段发现的污点传播路径,不会直接当成“理论风险”报出来。它会扔给对应的利用Agent,对着实际运行的应用打一遍。打通了,报告里既有PoC又有源码精准定位。打不通,就说明实际环境下有额外保护、WAF拦截或者路径不可达——不会报这种虚警。
一些让人舒服的设计细节
Shannon在工程上做得比较细致。它支持2FA/TOTP登录,包括SSO流程,不需要人工在旁边等着输验证码。登录流程用自然语言描述,把$username、$password这些placeholder写在步骤里,运行时自动替换。
工作区机制也对持续使用很友好。每次扫描自动创建workspace,中断后可以通过-w参数续跑,已完成的Agent不会重复执行。对长耗时扫描来说,这个功能省下来的API费用可能比软件本身还多。
并行处理也做得比较激进。五个漏洞分析Agent同时跑,分析完后利用Agent也并行开工。默认并发数是5,如果API配额吃紧可以降到2。
模型支持方面,Shannon绑定了Claude,官方也直说得很清楚——用其他模型“结果可能不完整、不准确、不稳定”。它内部做了模型分层:小模型(Haiku)处理摘要类任务,中模型(Sonnet)做安全分析,大模型(Opus)承担深度推理。支持直连Anthropic API、AWS Bedrock和Google Vertex AI三种部署方式。
绕不开的局限
有几件事得说清楚。第一,这是白盒工具,必须有源码才能跑。它需要读你的代码仓库结构来做分析。黑盒场景下完全用不了。
第二,绝对不能跑在生产环境上。它的利用Agent是真动手——创建用户、改数据、删数据、触发注入攻击的副作用,都可能发生。官方建议跑在沙箱、staging或者本地开发环境里,最安全的做法是开个虚拟机来做。
第三,成本。一个完整的五分类测试跑下来大概1到1.5小时,用Claude Sonnet模型的话大约消耗50美元。如果是Pro版加上全套静态分析,费用会更高。小团队得掂量一下ROI。
第四,Lite版的覆盖面有限。它只关注注入、XSS、认证、授权、SSRF这五类漏洞。第三方依赖库漏洞、不安全的配置这类问题不在Lite版的雷达范围内——这部分恰恰是Pro版的强项。
第五,跟所有AI工具一样,LLM会胡扯。虽然PoC机制能过滤掉大部分虚警,但最终报告里仍可能存在AI“脑补”出来的内容,人工复核的环节省不掉。
评测数据
在XBOW安全基准测试的“无提示、源码可见”变体上,Shannon Lite拿了96.15%——104个利用目标中打穿100个。这个成绩相当能打,毕竟XBOW不是那种放水式基准。
对OWASP crAPI这个专门设计来验证API安全测试能力的靶场,Shannon发现了15个以上的严重和高危漏洞,包括通过JWT算法混淆攻击和alg:none漏洞绕过认证、通过注入完整控制PostgreSQL数据库、SSRF攻击转发内部认证token到外部服务。XSS这块一个误报都没有——它正确识别了目标应用本身就有强XSS防护。
值不值得用?
如果你是独立开发者或者小团队,Shannon Lite是个值得一试的工具。50美元跑一次全量渗透测试,拿到一份有PoC的报告,相比请外部渗透团队动辄几万块的报价,性价比确实高。前提是你得准备好沙箱环境,并且愿意花1-1.5小时等它跑完。
如果你在中大型组织负责安全,Shannon Pro的静态-动态联动分析会是更匹配的选择。把SAST、SCA、密钥检测和渗透测试揉进同一个流水线里,避免了拼凑多个工具带来的信息孤岛问题。私有化部署加上客户自持API密钥的设计,也照顾到了金融、医疗这类合规敏感行业的需求。
但不管哪个版本,有一点不会变:别指着AI完全代替人。LLM的幻觉问题、覆盖面的盲区、还有那些需要深度业务理解的逻辑漏洞,这些都需要人的判断力来补位。把Shannon看成是一个不知疲倦的渗透测试助手,而不是你的最后一道防线。
获取方式:私信回复"shannon"获取
