今天,冲上 GitHub Trending 榜首的开源项目: Shannon,告诉了我们答案:让 AI 来攻击自己,并找出漏洞。
项目发布后,短短三天,暴涨 9100+ Star,总星数突破 1.3 万。
作为一个全自动的 AI 渗透测试员,Shannon 的定位非常简单:在黑客动手之前,先帮我们把自己的 Web 应用攻破。
如果我们把用 AI 写代码看作是搞建设的“蓝队”,那 Shannon 就是那个专门寻找代码漏洞,搞破坏的 “红队”。
它不仅仅是一个简单的代码扫描工具,更像是一个拥有独立思考能力的虚拟黑客。
能做到自动打开浏览器,对着我们的应用进行各种尝试,从登录认证到页面跳转,智能化完成所有流程。
最让我们惊喜的是它的 “实锤” 能力。
市面上很多扫描器,只会扔出一堆 “疑似漏洞” 的警告,搞得人心惶惶,最后发现全是误报。
Shannon 不一样,它主张 “没有利用成功,就不写进报告” 的原则。
简单来说,就是一旦它怀疑某个地方有注入风险,它没有直接告诉我们。
而是在背后构造攻击代码,去执行 SQL 注入,或者想办法绕过身份验证。
最后,把 “攻破的证据” 直接甩在我们面前,证明这个漏洞是真的能被利用。
比如在著名的漏洞靶场 OWASP Juice Shop 测试中,它一口气发现了 20 多个高危漏洞。
甚至还成功绕过了双重验证,直接从数据库里把用户数据给拖了出来,这战斗力简直爆表。
在架构设计上,Shannon 模仿了人类渗透测试的思维逻辑。
它把整个过程分成了侦察、分析、利用和报告四个阶段,利用多个 AI Agent 协同工作。
先是用 Nmap 等工具摸清底细,然后分析代码寻找弱点,最后并行启动多个 Agent 进行攻击尝试。
目前它已经能覆盖注入攻击、XSS、SSRF 以及身份验证失效等多种关键漏洞。
想要使用它也非常简单,项目提供了 Docker 镜像,只需要配置好 Anthropic 的 API Key 就能跑起来。
git clone https://github.com/KeygraphHQ/shannon.gitcd shannon# 快速启动渗透测试./shannon start URL=https://your-app.com REPO=/path/to/your/repo
不过这里必须提醒一下:
Shannon 是真刀真枪地在进行攻击测试,会产生很多不可逆的数据修改。
建议不要在生产环境运行!
只能在本地或者测试环境里折腾,否则有可能把线上数据库直接搞没了。
另外,目前的开源版本是 Lite 版,采用 AGPL-3.0 协议,对于个人开发者和中小团队自测来说,已经够用的。
如果我们也担心 AI 写的代码不够安全,不妨请这位 AI 黑客来搞一次演习。
写在最后
Shannon 的出现,标志着软件工程正在逐步进入 “Agent-First” 新阶段。
过去我们谈论 AI,更多是在聊如何用它写一段逻辑、画一张图。但 Shannon 让我们看到,AI 已经开始承担起 “强结果导向” 的复杂工程任务。
当代码生成的边际成本趋近于零,安全验证的成本如果不随之下降,软件的稳定性便难以维持,安全也会成为创新的枷锁。
未来的优秀开发者,可能不再只是那个能手写复杂防护逻辑的人,而是那个能同时指挥多个优秀 AI Agent,全方位自动化编织出坚固防线的人。
这种新的 “人机协同” 范式转移,在打通自动化协作时,将成为这一轮 AI 浪潮留给所有创业者和技术人最大的红利。
GitHub 项目地址:https://github.com/KeygraphHQ/shannon
发表回复