Shannon Lite : le pentest IA open source qui prouve les exploits

La plupart des scanners de securite produisent une file d’attente de possibilites.

Shannon Lite est interessant parce qu’il vise quelque chose de plus etroit et plus utile : lire le code source d’une application web, planifier des chemins d’attaque probables, tester l’application en execution, puis ne rapporter que les vulnerabilites qu’il peut prouver avec une preuve de concept fonctionnelle.

Cette difference compte. Dans un workflow de developpement accelere par les outils de code IA, les equipes livrent plus vite que les cycles classiques de revue securite. L’analyse statique, les scanners de dependances et les pentests annuels restent necessaires, mais ils ne repondent pas toujours a la question avant release : ce build est-il vraiment exploitable ?

Shannon Lite est la reponse open source de Keygraph a cette question. C’est un pentester IA autonome et white-box pour applications web et API, publie sous AGPL-3.0, concu pour tester localement des applications que vous possedez ou que vous avez l’autorisation explicite d’evaluer.

Ce qu’est Shannon Lite

Shannon Lite est une CLI de pentest IA autonome developpee par Keygraph. Elle cible les applications web et les API pour lesquelles vous pouvez fournir a la fois une cible en execution et le depot source. C’est donc un outil de test white-box, pas un scanner black-box a pointer vers n’importe quel systeme expose.

L’idee centrale est simple :

1. Analyser le code pour comprendre l’application.
2. Explorer l’application en execution pour cartographier la surface d’attaque reelle.
3. Lancer des agents specialises par type de vulnerabilite.
4. Tenter une exploitation dynamique.
5. Rapporter seulement les constats avec preuve de concept fonctionnelle.

Cette approche “preuve par exploitation” est la raison pour laquelle Shannon Lite merite l’attention. Les equipes securite ont deja trop d’alertes theoriques. Un outil qui essaie de prouver l’exploitabilite peut aider a prioriser ce qui doit etre corrige en premier.

Pourquoi c’est important maintenant

Les outils de code IA ont change le rythme de livraison logicielle. Les equipes peuvent generer, refactorer et publier du code plus vite qu’avant. Mais la revue securite n’est pas devenue continue simplement parce que la generation de code est devenue continue.

Cela cree un ecart :

• L’analyse statique peut produire trop de bruit.
• Les scanners de dependances peuvent manquer les chemins d’exploitation propres a l’application.
• Les pentests manuels sont couteux et periodiques.
• Les developpeurs ont besoin d’un feedback avant la production.

Shannon Lite se place dans cet ecart. Ce n’est pas un remplacement des experts securite, mais une nouvelle couche utile : validation dynamique, code-aware, orientee preuve, sur une copie locale ou staging de l’application.

Les capacites principales

Le depot officiel presente Shannon Lite autour de plusieurs capacites pratiques.

Rapports proof-by-exploitation. Shannon Lite cherche a inclure des constats valides avec etapes de reproduction, pas seulement des avertissements speculatifs.

Planification white-box. Il utilise l’analyse du code source pour guider la strategie de test dynamique et cibler des chemins d’attaque realistes.

Execution autonome. Une seule execution lance reconnaissance, analyse de vulnerabilite, exploitation et generation du rapport.

Tests authentifies. Les fichiers de configuration peuvent decrire les flux de connexion, comptes de test, TOTP, connexions par email, zones de focus et regles d’engagement.

Couverture OWASP ciblee. Shannon Lite vise Injection, XSS, SSRF, Broken Authentication et Broken Authorization.

Workspaces resumables. Une execution interrompue peut reprendre sans relancer les agents deja termines.

Ces choix rapprochent l’outil d’un workflow de pentest autonome plutot que d’un scanner classique. Il essaie de raisonner depuis le code, tester l’application reelle et conserver assez de preuves pour que les developpeurs reproduisent et corrigent.

L’architecture

Shannon Lite utilise un workflow multi-agent.

La premiere etape est la pre-reconnaissance : identifier frameworks, points d’entree, routes, flux de donnees et surfaces d’attaque probables depuis le depot. La deuxieme etape est la reconnaissance runtime : explorer l’application en execution et relier le comportement observe au contexte du code.

Ensuite, des agents specialises travaillent sur les domaines de vulnerabilite comme Injection, XSS, SSRF, Authentification et Autorisation. Les agents d’exploitation tentent de vraies preuves de concept. Si une hypothese ne peut pas etre prouvee, elle ne devrait pas apparaitre comme vulnerabilite confirmee.

La sortie finale est un rapport Markdown local avec preuves et conseils de remediation.

Cette architecture compte parce qu’elle combine deux modes de test souvent separes :

• le contexte statique du code source,
• la preuve dynamique d’une application en execution.

C’est la que les agents IA peuvent etre utiles : lire un contexte large, formuler des hypotheses, puis les tester dans un environnement controle.

Ce que l’outil couvre

La couverture actuelle de Shannon Lite est volontairement ciblee. Le depot et la documentation insistent sur les vulnerabilites web et API exploitables, notamment :

• Broken Authentication
• Broken Authorization
• SQL Injection
• Command Injection
• Cross-Site Scripting
• Server-Side Request Forgery

La documentation de couverture mappe aussi certaines parties de l’OWASP Web Security Testing Guide : fingerprinting, points d’entree, authentification, autorisation, sessions, validation des entrees, certains problemes cote client et tests API.

Le mot cle est exploitable. Shannon Lite ne cherche pas a etre une plateforme AppSec complete. Si l’outil ne peut pas exploiter activement un probleme, il peut ne pas le rapporter.

Cela veut dire que ce n’est pas le bon outil pour tous les risques. Les dependances vulnerables, les configurations faibles, les choix cryptographiques fragiles, les problemes de politique et les workflows de gouvernance enterprise ne sont pas le coeur de Shannon Lite. Keygraph positionne ces capacites plus larges dans Shannon Pro.

Shannon Lite vs Shannon Pro

La distinction est utile.

Shannon Lite est la CLI locale open source. Elle est AGPL-3.0, source-aware, et destinee aux tests de projets que vous possedez ou avez l’autorisation de tester. Elle exige le code source et une cible en execution.

Shannon Pro est la plateforme commerciale. Le depot la decrit comme plus large : pentest continu, SAST base sur du code parse, analyse source-to-sink, pentest agentique black-box et white-box, gating CI/CD, remediation verifiee, suivi SLA, reporting et deploiement enterprise.

Pour un developpeur, une petite equipe ou un groupe engineering sensible a la securite, Shannon Lite est le bon point de depart. Pour une grande organisation qui a besoin de gouvernance, dashboards, black-box testing, workflows de remediation et reporting compliance, la plateforme devient plus pertinente.

Modele de setup pratique

Le demarrage recommande est clair : Docker, Node.js 18+ et des credentials de fournisseur IA. Le depot recommande le workflow npx :

npx @keygraph/shannon setup
npx @keygraph/shannon start -u https://your-app.example -r /path/to/your-repo

Cette forme de commande montre le modele : Shannon a besoin d’une URL et d’un chemin de depot. L’URL fournit l’application en execution. Le depot fournit le contexte source.

D’apres la documentation, Shannon Lite recupere une image worker, lance l’infrastructure locale, monte le depot cible en lecture seule dans un container ephemere et ecrit les resultats dans un workspace local.

C’est une bonne architecture pour le test local, mais cela veut aussi dire qu’il faut preparer l’environnement avec soin. Donnees jetables. Comptes de test. Acces sortants compris. Effets de bord acceptes. Pas de production.

Limites de securite et cadre legal

C’est la section la plus importante.

Shannon Lite n’est pas un scanner passif. Il execute activement des attaques pour confirmer les vulnerabilites. La documentation securite indique explicitement qu’il peut creer des utilisateurs, modifier ou supprimer des donnees, compromettre des comptes de test, declencher des effets de bord, generer du trafic sortant et ecrire des artefacts d’exploitation dans les rapports.

Utilisez-le uniquement sur des systemes que vous possedez ou pour lesquels vous avez une autorisation ecrite explicite. Lancez-le en local, staging, sandbox ou environnement jetable. Ne l’executez pas contre la production.

Il existe aussi un risque propre a l’IA : le prompt injection depuis le depot analyse. Tout outil IA qui lit du code source peut etre influence par du contenu malveillant dans ce code. C’est une raison pour laquelle la documentation deconseille de scanner des depots non fiables ou adversariaux.

Le bon modele operationnel n’est pas “laisser une IA hacker n’importe quoi”. C’est :

• definir le scope,
• isoler la cible,
• utiliser des donnees jetables,
• fournir des credentials autorises,
• relire la sortie,
• reproduire le constat,
• corriger le code,
• relancer une validation ciblee.

Realite des modeles et des couts

Shannon Lite est officiellement supporte avec les modeles Claude. Les docs recommandent les cles Anthropic, avec AWS Bedrock, Google Vertex AI et des endpoints compatibles Anthropic egalement documentes. Les modeles non-Claude peuvent ne pas suivre correctement les contraintes d’outillage.

Ce point est important parce que ce n’est pas un simple wrapper bon marche autour de grep. Une execution complete peut durer environ 1 a 1,5 heure et generer des couts LLM selon le modele, la complexite de la cible, le fournisseur et la concurrence.

Les equipes devraient traiter Shannon Lite comme un job securite, pas comme une etape de lint triviale. Utilisez-le quand le signal justifie le cout : avant une release importante, sur des flux sensibles, apres de gros changements generes par IA ou sur des applications internes a risque.

Ou Shannon Lite s’insere

Shannon Lite est fort quand :

• vous avez acces au code source,
• vous pouvez lancer l’application dans un environnement jetable,
• la cible est une application web ou une API,
• vous voulez des constats appuyes par exploitation,
• vous acceptez une revue humaine,
• vous cherchez du feedback securite entre deux pentests formels.

Il est moins adapte quand :

• vous avez besoin d’un test purement black-box,
• vous ne pouvez pas modifier la cible,
• le risque principal concerne les dependances ou la configuration,
• vous avez besoin de triage enterprise et de dashboards,
• vous attendez un remplacement complet du jugement humain.

Bien utilise, Shannon Lite n’est pas une solution magique. C’est un test de pression sur l’exploitabilite reelle.

Le signal plus large

La partie la plus interessante de Shannon Lite est la direction qu’il represente.

Les outils de securite IA passent de “resume ce code” a des workflows agentiques qui combinent lecture, planification, execution, capture de preuve et aide a la remediation. C’est naturel pour la securite applicative, car un bon test implique deja formulation d’hypotheses et validation.

Mais l’autonomie augmente l’exigence de discipline. Un pentester IA capable d’executer de vraies attaques demande plus de limites qu’un linter. Il faut autorisation, isolation, logs, controle du scope et revue humaine.

C’est pour cela que Shannon Lite est a la fois convaincant et sensible : il rapproche la validation par exploitation du quotidien engineering, mais rend le choix d’environnement et les regles d’engagement non negociables.

Pour les equipes qui livrent vite, surtout celles qui utilisent des outils de code IA, Shannon Lite merite une evaluation. Pas comme remplacement de l’AppSec, pas comme excuse pour eviter la revue manuelle, et pas comme scanner de production.

Utilisez-le comme une couche de securite controlee, locale et orientee preuve entre generation de code et release.