用 AI 做白盒渗透测试,这个 Skill 有点猛

如果你的团队用 Claude Code、Cursor 这类工具一天发三版代码,但渗透测试还停留在一年一次——那恭喜你,安全缺口已经长得比代码库还大了。

Shannon 是 Keygraph 开源的一个自主白盒 AI 渗透测试员,专门解决「代码迭代快、安全验证慢」这个矛盾。它不靠扫描器碰运气,而是直接读你的源码,理解业务逻辑,然后自己规划攻击路径、发起真实 Exploit,最后给你一份带 PoC 的漏洞报告。

它和传统扫描器的区别

  • 白盒 + 自主决策:不是拿着规则库乱扫,而是基于源码做路径推导。
  • 只报真漏洞:没有 PoC 的发现不写进报告,减少误报噪音。
  • 本地 CLI 跑:用 npx @keygraph/shannon 就能启动,代码挂载到临时容器,不污染环境。

适合谁用

DevSecOps 团队、独立安全研究员、任何想在不打断 CI 的前提下补上安全测试的人。目前已经有人在 OWASP Juice Shop、crAPI、c{api}tal 上跑出过 15–20+ 个真实漏洞,包括认证绕过、SQL 注入、SSRF、IDOR 这些老问题。

一句话总结

Shannon 的价值不是「又一个 AI 安全工具」,而是把渗透测试从年度审计变成了每次上线前都能跑的自动化关卡。对开发者来说,它是少有的「真能打」的 LLM + 安全落地案例。

项目地址:https://github.com/KeygraphHQ/shannon


GitHub: https://github.com/KeygraphHQ/shannon

评论区

0 条评论

登录后可评论。

查看完整榜单
查看完整榜单
查看完整榜单