티스토리 뷰
주요 기능
- 명령으로 2FA 로그인, 브라우저 조작, 최종 리포트 작성까지 알아서 한다
- 직접 공격해서 성공한 PoC를 리포트에 첨부, 오탐지 제로를 지향
- 하이브리드: 소스코드를 읽고(화이트박스) 약한 지점을 파악해 실제 작동 중인 앱 공격(블랙박스)
- SQL Injection, XSS, SSRF, 인증/인가 우회 등에 특화
- 여러 종류의 공격 병렬처리
뭐가 특별하죠?
- Claude와 Cursor로 빠르게 생성된 코드들을 매일 혹은 매 빌드마다 점검할 수 있다
- 전문인력이 며칠 쓰는 작업을 1시간 내외면 충분
- 단돈 50달러
사례
OWASP Juice Shop(보안 취약점 실습 서비스)에서 20개 이상의 크리티컬을 발견, DB도 털었다
가능성
- 컴플라이언스 자동화: SOC 2, HIPAA 같은 보안 인증을 위한 증거 수집까지 자동화(Cybersecurity계의 Rippling이 목표)
- Shannon Pro의 등장: 더 깊은 데이터 흐름 분석(LLMDFA)과 CI/CD 연동(통합)으로 기업형 보안의 핵심이 될 것 기대
- 오픈소스 생태계: AGPL-3.0 라이선스로 Lite 버전 공개함, 누구나 사용해볼 수 있음
나도 실습해볼까(macOS M4)
- Anthropic API Key 필요한데 내가 당장 거지라서 더 알아보고 올게요
https://github.com/KeygraphHQ/shannon
GitHub - KeygraphHQ/shannon: Fully autonomous AI hacker to find actual exploits in your web apps. Shannon has achieved a 96.15%
Fully autonomous AI hacker to find actual exploits in your web apps. Shannon has achieved a 96.15% success rate on the hint-free, source-aware XBOW Benchmark. - KeygraphHQ/shannon
github.com
https://www.opsoai.com/posts/Shannon-The-Autonomous-AI-Pentester/
개발자 직업이 위험하다? 실제 해킹까지 수행하는 AI 에이전트 ‘Shannon’ 등장
사이버 보안 업계에 ‘진짜’가 나타났습니다.
www.opsoai.com
https://digitalbourgeois.tistory.com/2731
웹 애플리케이션 취약점을 스스로 찾아주는 오픈소스 AI, Shannon - 자율적으로 움직이며 웹 보안
웹 애플리케이션 보안은 중요하다는 걸 알면서도, 개발 일정과 복잡한 도구들 때문에 뒤로 미뤄지기 쉽습니다.이번 글에서는 이런 현실적인 문제를 해결하려는 오픈소스 프로젝트 Shannon을 소개
digitalbourgeois.tistory.com
'보안전문가로 취업할래요 > 취약점과 보안뉴스' 카테고리의 다른 글
| CVE-2026-3304 ExpressJS의 multer 취약점 (0) | 2026.03.08 |
|---|---|
| CVE-2025-59536 클로드 코드 원격 실행 가능 취약점 (0) | 2026.02.26 |
| CVE-2026-25881 샌드박스JS 보호막 탈옥 취약점 (0) | 2026.02.17 |
| 윈도우 서버를 노리는 러시아산 Prometei 봇넷 변종 (0) | 2026.02.16 |
| 차세대 방화벽(NGFW), 김수키씨가 누구세요 (0) | 2026.01.12 |