Siber güvenliğe odaklanan Keygraph ekibi tarafından geliştirilen Shannon, sadece uyarılar sunmanın ötesinde, gerçek güvenlik açıklarını da ortaya çıkaran yapay zeka bir pentester (penetrasyon testçisi). Shannon, başkası yapmadan önce web uygulamanızı saldırıya uğratmayı amaçlıyor. Kodunuzdaki saldırı vektörlerini otomatik olarak arayan Shannon, ardından yerleşik tarayıcısını kullanarak enjeksiyon saldırıları ve kimlik doğrulama atlaması gibi gerçek güvenlik açıklarını gerçekleştiriyor. Böylece bu yeni nesil yapay zeka hacker, güvenlik açığının gerçekten istismar edilebilir olduğunu kanıtlıyor. Shannon'ın XBOW Benchmark'ta yüzde 96,15 başarı oranı elde ettiğini de ekleyelim.
Shannon, Keygraph Güvenlik ve Uyumluluk Platformu'nun temel bileşeni olarak karşımıza çıkıyor. Shannon'ın sunduğu özellikler arasında Tamamen Otonom Çalışma, Tekrarlanabilir Saldırılarla Pentester Düzeyinde Raporlar, Kritik OWASP Güvenlik Açığı Kapsamı ve Kod Duyarlı Dinamik Test yer alıyor.
Tamamen otonom çalışma kaspamında tek bir komutla pentest'i (penatrasyon testi) başlatabiliyorsunuz. Yapay zeka, Google ile oturum açma dahil olmak üzere gelişmiş 2FA/TOTP oturum açma işlemlerinden ve tarayıcı navigasyonundan nihai rapora kadar her şeyi sıfır müdahale ile hallediyor.
Tekrarlanabilir saldırılarla pentester düzeyinde raporlar sayesinde ekipler, kanıtlanmış, istismar edilebilir bulgulara odaklanan, kopyala-yapıştır Proof-of-Concepts ile tamamlanmış nihai bir rapor sunuyor. Böylece yanlış pozitifleri ortadan kaldırmak ve eyleme geçirilebilir sonuçlar sağlamak mümkün oluyor.
Kritik OWASP güvenlik açığı kapsamı ise şu anda Enjeksiyon, XSS, SSRF ve Bozuk Kimlik Doğrulama/Yetkilendirme gibi kritik güvenlik açıklarını tanımlayıp doğruluyor. Shannon'ın geliştiricisi daha fazla türün geliştirme aşamasında olduğunu belirtiyor.
Shannon, kod duyarlı dinamik test ile kaynak kodunuzu analiz ederek saldırı stratejisini akıllıca yönlendiriyor. Bu adımın ardından çalışan uygulamada canlı, tarayıcı ve komut satırı tabanlı saldırılar gerçekleştirerek gerçek dünyadaki riski doğruluyor.
Bu arada Shannon'ın entegre güvenlik araçları ile güçlendirildiğini belirtelim. Shannon, keşif aşamasını geliştirmek amacıyla hedef ortamın derinlemesine analizi için Nmap, Subfinder, WhatWeb ve Schemathesis gibi önde gelen keşif ve test araçlarından yararlanıyor.
Bunlara ek olarak Shannon, daha hızlı sonuçlar için paralel işleme de sunuyor. Raporunuzu daha hızlı almanızı sağlayan bu adımda sistem, en zaman alıcı aşamaları paralel hale getirerek tüm güvenlik açığı türleri için analiz ve saldırıyı eşzamanlı olarak yürütüyor.
Shannon'ın Github sayfasında Claude Code ve Cursor gibi araçlar sayesinde, yazılım ekiplerinin kesintisiz olarak kod gönderdiği ancak penetrasyon testinin yaklaşık olarak yılda bir kez yapıldığı belirtiyor. Bu durum, büyük bir güvenlik açığı yaratırken, ekiplerin 364 gün boyunca, farkında olmadan üretim aşamasına güvenlik açıkları gönderebileceğine dikkat çekiliyor. Bu noktada Shannon, isteğe bağlı white penstester olarak bu açığı kapatıyor. Gerçek saldırılar gerçekleştiren Shannon'ın güvenlik açıklarının somut kanıtlarını sunduğunu söyleyebiliriz. Böylece ekipler, her sürümün güvenli olduğundan emin olabiliyor.
Shannon Lite ve Shannon Pro olarak iki sürüm sunulmakta. AGPL-3.0 lisansı altında sunulan Shannon Lite, güvenlik ekipleri, bağımsız araştırmacılar ve kendi uygulamalarını test edenler tarafından tercih edilebilir. Ticari lisans altında sunulan Shannon Pro ise daha gelişmiş özellikleriyle öne çıkarken, CI/CD entegrasyonu ve özel destek gerektiren işletmeler tarafından kullanılabilir.
İlk Yorumu yazmak ister misiniz?
Yorum Yazmak için Giriş Yap