你是否担心上线前的Web应用或API存在未被发现的安全漏洞?传统人工渗透测试耗时长、成本高,而黑盒扫描工具又容易漏掉逻辑缺陷和上下文敏感的攻击路径。Shannon 正是为此而生:它是一款基于TypeScript开发的开源AI驱动型白盒渗透测试工具,能直接“读懂”你的源代码,自动定位风险点,并真实执行攻击验证(如SQL注入、XSS、SSRF等),把漏洞堵在上线之前。
核心功能
- 源码级深度分析:支持主流Web框架(Express、Next.js、Nuxt、FastAPI等)的源码解析,精准识别路由、参数绑定、数据流向与信任边界
- 真实漏洞利用验证:不止于“报出风险”,而是调用Puppeteer进行浏览器自动化、集成curl/HTTPie发起真实请求,主动触发并复现漏洞(如绕过登录、读取敏感文件、执行远程命令)
- 白盒+灰盒双模检测:既分析静态代码逻辑,也结合运行中的服务端响应、Cookie、Header等动态信息,大幅提升误报率控制与漏洞可信度
- 开箱即用的攻击链构建:内置数十种常见Web攻击模板(含OAuth2权限提升、GraphQL内联注入、JWT密钥爆破辅助、API参数污染等),支持自定义Payload策略
- 开发者友好的报告输出:生成带上下文截图、复现步骤、修复建议的HTML/PDF报告,支持VS Code插件实时提示,无缝融入CI/CD流程
- 完全本地化、隐私优先:所有分析与攻击均在本地环境执行,代码无需上传云端,满足金融、政务等强合规场景需求
适合哪些人用
Shannon 不是给红队专家准备的重型武器,而是为**安全左移实践者**量身打造的协作工具:前端/后端工程师可在提交PR前一键扫描;DevSecOps工程师可将其嵌入GitLab CI或GitHub Actions实现自动门禁;安全团队可用它快速评估新业务模块的风险基线;高校教学中亦可作为Web安全原理的可视化实验平台。它降低的是专业门槛,而非检测深度。
快速上手
只需三步即可启动首次扫描:
- 确保已安装 Node.js 18+ 和 Chrome/Chromium(或使用Docker)
- 在项目根目录运行:
npm create shannon@latest(交互式初始化),或直接克隆后npm install && npm run dev - 配置
shannon.config.ts指定源码路径、目标服务地址及测试范围,然后执行npx shannon scan—— 数分钟内即可获得带可点击复现链接的交互式报告
官方提供详细中文文档、VS Code扩展及Discord技术社区(中文支持活跃),新手5分钟即可完成首次实战检测。
项目信息
KeygraphHQ/shannon
GitHub
Shannon Lite is an autonomous, white-box AI pentester for web applications and APIs. It analyzes your source code, identifies attack vectors, and exec
39.7k
今日 +372 stars today
Stars
4.4k
Forks
TypeScript
AGPL-3.0
编程语言:TypeScript|GitHub Star 数:39,706|开源协议:AGPL-3.0|GitHub 项目地址
该项目由 Keygraph 团队开源,已在国际安全社区引发广泛关注,Trendshift 年度安全工具趋势榜TOP 3常驻项目。虽托管于GitHub,但其架构设计高度适配国内开发环境,支持国产信创中间件适配与离线部署,是值得中国开发者重点关注的前沿安全基础设施。
如果你希望安全测试不再依赖“等漏洞爆发后再补救”,而是像单元测试一样成为日常开发的一部分——Shannon 就是你今天最该试一试的AI安全搭档。
