文章总结： Shannon是一款自主运行的白盒AI渗透测试工具，适用于Web应用和API安全测试。它能自动分析源代码、识别攻击向量并执行真实漏洞利用，覆盖OWASP常见漏洞类型。工具集成Nmap等安全工具，支持并行处理和自动生成可复现的PoC报告，仅用于合法安全研究。 综合评分： 80 文章分类： 渗透测试,AI安全,WEB安全,漏洞分析,安全工具

AI 渗透测试工具 – shannon

GSDK安全团队

2026年4月6日 18:31 上海

01 项目地址

https://github.com/KeygraphHQ/shannon

02 项目介绍

项目描述

Shannon 是一款自主运行的白盒 AI 渗透测试工具，适用于 Web 应用程序和 API。它可以分析源代码，识别攻击向量，并执行真实的漏洞利用程序，从而在漏洞进入生产环境之前验证其有效性。

主要功能

完全自主运行：只需一条命令即可启动完整的渗透测试。Shannon 可自动处理双因素身份验证/TOTP 登录（包括单点登录）、浏览器导航、漏洞利用和报告生成，无需人工干预。可复现的概念验证漏洞利用：最终报告仅包含已证实可利用的漏洞，并提供可直接复制粘贴的概念验证代码。无法利用的漏洞将不予报告。OWASP 漏洞覆盖范围：识别和验证注入、XSS、SSRF 和身份验证/授权失效等漏洞，其他类别正在开发中。代码感知动态测试：分析源代码以指导攻击策略，然后使用实时浏览器和基于 CLI 的漏洞利用程序对正在运行的应用程序进行验证。集成安全工具：在侦察和发现阶段利用 Nmap、Subfinder、WhatWeb 和 Schemathesis。并行处理：漏洞分析和利用阶段在所有攻击类别中同时运行。

注：工具仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。信息及工具收集于互联网，真实性及安全性自测！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GSDK安全团队 《AI 渗透测试工具 – shannon》