L’auteur partage son expérience avec l’outil Claude Code d’Anthropic pour réaliser des tests d’intrusion (pentests) de manière rapide et efficace, sous réserve d’avoir l’autorisation explicite du propriétaire du site et de son hébergeur. Il détaille un processus en trois étapes, commençant par l’installation du plugin claude-pentest pour générer un premier rapport de vulnérabilités, puis en affinant les résultats avec une approche multi-agents pour une analyse plus critique. Enfin, il propose une méthode avancée de chaînage conditionnel pour identifier des attaques combinant plusieurs vulnérabilités mineures en une chaîne critique, en limitant les requêtes et en structurant la méthodologie par étapes théoriques et conditionnelles.

Shannon est un pentester IA autonome en white-box conçu par Keygraph pour tester la sécurité des applications web et de leurs APIs. Il analyse le code source pour détecter des vecteurs d’attaque, puis exécute des exploits réels (injections, contournements d’authentification, SSRF, XSS) afin de valider les vulnérabilités avant leur mise en production. Seules les failles avec un proof-of-concept fonctionnel sont rapportées.

L’outil comble un vide en automatisant les tests de pénétration, souvent limités à une fois par an, pour les aligner sur le rythme des déploiements modernes. Disponible via npx @keygraph/shannon, il s’intègre facilement aux pipelines CI/CD et utilise une architecture éphémère pour limiter les risques.

Le projet, sous licence AGPL-3.0, est open source et propose des fonctionnalités avancées comme un CLI via monorepo, une intégration Docker, et une gestion structurée des vulnérabilités. Il cible les équipes cherchant à réduire leur exposition aux risques de sécurité entre deux audits manuels.