L’auteur, informaticien et ancien expert judiciaire, compare l’arrivée de l’IA générative à d’autres ruptures technologiques qu’il a connues, comme les calculatrices, les ordinateurs personnels ou Internet. Il souligne l’impact potentiellement « effroyable » de cette technologie sur la planète, l’emploi et l’informatique, tout en reconnaissant son propre manque d’intuition face aux innovations passées.
Ayant testé des outils d’IA dans un cadre professionnel, notamment pour des tests d’intrusion (pentests), il décrit une accélération soudaine de leur adoption, illustrée par l’engagement financier d’un alternant pour un abonnement coûteux. Son expérience en cybersécurité révèle aussi une augmentation des attaques informatiques, dans un contexte où les ressources et expertises se raréfient.
L’auteur, bien que sceptique au départ, admet que l’IA transforme profondément son domaine, tout en insistant sur la nécessité de l’encadrer pour éviter les risques, notamment les fuites de données. Son billet reflète une prise de conscience face à cette évolution rapide et ses implications.
L’auteur partage son expérience avec l’outil Claude Code d’Anthropic pour réaliser des tests d’intrusion (pentests) de manière rapide et efficace, sous réserve d’avoir l’autorisation explicite du propriétaire du site et de son hébergeur. Il détaille un processus en trois étapes, commençant par l’installation du plugin claude-pentest pour générer un premier rapport de vulnérabilités, puis en affinant les résultats avec une approche multi-agents pour une analyse plus critique. Enfin, il propose une méthode avancée de chaînage conditionnel pour identifier des attaques combinant plusieurs vulnérabilités mineures en une chaîne critique, en limitant les requêtes et en structurant la méthodologie par étapes théoriques et conditionnelles.
Shannon est un pentester IA autonome en white-box conçu par Keygraph pour tester la sécurité des applications web et de leurs APIs. Il analyse le code source pour détecter des vecteurs d’attaque, puis exécute des exploits réels (injections, contournements d’authentification, SSRF, XSS) afin de valider les vulnérabilités avant leur mise en production. Seules les failles avec un proof-of-concept fonctionnel sont rapportées.
L’outil comble un vide en automatisant les tests de pénétration, souvent limités à une fois par an, pour les aligner sur le rythme des déploiements modernes. Disponible via npx @keygraph/shannon, il s’intègre facilement aux pipelines CI/CD et utilise une architecture éphémère pour limiter les risques.
Le projet, sous licence AGPL-3.0, est open source et propose des fonctionnalités avancées comme un CLI via monorepo, une intégration Docker, et une gestion structurée des vulnérabilités. Il cible les équipes cherchant à réduire leur exposition aux risques de sécurité entre deux audits manuels.