用 AI 做白盒渗透测试,这个 Skill 有点猛
如果你的团队用 Claude Code、Cursor 这类工具一天发三版代码,但渗透测试还停留在一年一次——那恭喜你,安全缺口已经长得比代码库还大了。
Shannon 是 Keygraph 开源的一个自主白盒 AI 渗透测试员,专门解决「代码迭代快、安全验证慢」这个矛盾。它不靠扫描器碰运气,而是直接读你的源码,理解业务逻辑,然后自己规划攻击路径、发起真实 Exploit,最后给你一份带 PoC 的漏洞报告。
它和传统扫描器的区别
- 白盒 + 自主决策:不是拿着规则库乱扫,而是基于源码做路径推导。
- 只报真漏洞:没有 PoC 的发现不写进报告,减少误报噪音。
- 本地 CLI 跑:用
npx @keygraph/shannon就能启动,代码挂载到临时容器,不污染环境。
适合谁用
DevSecOps 团队、独立安全研究员、任何想在不打断 CI 的前提下补上安全测试的人。目前已经有人在 OWASP Juice Shop、crAPI、c{api}tal 上跑出过 15–20+ 个真实漏洞,包括认证绕过、SQL 注入、SSRF、IDOR 这些老问题。
一句话总结
Shannon 的价值不是「又一个 AI 安全工具」,而是把渗透测试从年度审计变成了每次上线前都能跑的自动化关卡。对开发者来说,它是少有的「真能打」的 LLM + 安全落地案例。
项目地址:https://github.com/KeygraphHQ/shannon
评论区
0 条评论
登录后可评论。












