Shannon Lite, автономный инструмент для тестирования на проникновение с белым ящиком, разработанный базирующейся в Сан-Франциско компанией Keygraph, выпустил версию 1.2.0 6 мая 2026 года, обновив свою базовую модель с Claude Opus 4.6 до Claude Opus 4.7 с адаптивным мышлением. Это обновление несет практическое последствие, выходящее за рамки возможностей: Anthropic выпустила Opus 4.7 16 апреля со встроенными механизмами кибербезопасности в реальном времени, которые могут автоматически блокировать запросы, классифицируемые моделью как запрещенные или высокорискованные. Специалисты по безопасности, использующие новую модель для легитимного тестирования на проникновение — включая сканирование Shannon Lite — теперь должны зарегистрироваться в Программе верификации кибербезопасности Anthropic, чтобы избежать автоматических отказов в середине сканирования.
Сам инструмент значительно вырос с момента его первого появления в феврале 2026 года. В репозитории GitHub теперь более 43 000 звезд, что отражает устойчивый интерес разработчиков, который удерживает его в трендах TypeScript в течение нескольких месяцев. Основная концепция остается неизменной: предоставьте Shannon Lite доступ к исходному коду вашего приложения и работающему URL-адресу, и он автономно попытается проникнуть внутрь — запуская разведывательные инструменты, включая Nmap, Subfinder и WhatWeb, распространяясь по параллельным путям анализа уязвимостей, охватывающим SQL-инъекции, межсайтовый скриптинг (XSS), подделку запросов на стороне сервера (SSRF) и ошибки аутентификации, а затем выполняя реальные эксплойты с автоматизацией браузера против работающего приложения. Если он не может продемонстрировать работающий эксплойт, он не составляет отчет.
«Нет эксплойта — нет отчета»: что эта политика означает на практике
Большинство сканеров уязвимостей выдают список потенциальных проблем, оставляя проверку инженерной команде. Опубликованная политика Shannon Lite противоположна: в итоговый отчет попадают только уязвимости, продемонстрированные с помощью рабочего proof-of-concept. Это различие имеет операционное значение. Традиционный сканер динамического тестирования безопасности приложений (DAST) может выдать сотни непроверенных находок, на сортировку которых уходят дни работы инженеров. Вывод Shannon Lite более узок, но немедленно применим к действию — каждая указанная уязвимость включает proof-of-concept, который инженер может скопировать и воспроизвести.
В собственной документации Keygraph добавляется важное уточнение: даже при такой методологии базовая модель может сгенерировать галлюцинированный или слабо обоснованный контент в итоговом отчете, и человеческий надзор остается необходимым для проверки обоснованности и серьезности каждой находки. Заявление инструмента об отсутствии ложноположительных срабатываний относится к стандарту отчетности, а не к рассуждениям модели, которые все еще могут отклоняться.
Результат бенчмарка — и что он означает и не означает
Shannon Lite набрал 96,15% — выполнив 100 из 104 задач по эксплуатации — на модифицированном Keygraph варианте бенчмарка безопасности XBOW с учетом исходного кода. Бенчмарк XBOW был создан XBOW, отдельной коммерческой компанией по тестированию на проникновение с использованием ИИ, и состоит из 104 намеренно уязвимых веб-приложений, предназначенных для тестирования автономных агентов в реалистичных сценариях пентеста.
Сравнение, важное для контекста: предыдущие результаты ведущих ИИ-агентов и экспертов-пентестеров на оригинальной версии бенчмарка с черным ящиком составляли около 85%. Показатель Shannon Lite в 96,15% был достигнут при полном доступе к исходному коду приложения на систематически очищенном варианте без подсказок — условиях, которые дают существенное преимущество перед тестированием с черным ящиком. Keygraph сама отмечает, что два набора результатов «нельзя сравнивать напрямую», описывая оценку с белым ящиком как меру глубокого рассуждения на уровне кода в рамках внутреннего аудита безопасности, а не как прямое сравнение с результатами черного ящика.
Оставшиеся четыре задачи представляют собой текущий предел того, что автономные инструменты с белым ящиком пока не могут последовательно воспроизвести.
Почему обновление до Opus 4.7 меняет практическую картину
Claude Opus 4.7 от Anthropic поставляется с механизмами кибербезопасности в реальном времени, предназначенными для автоматического обнаружения и блокировки запросов, указывающих на запрещенное или высокорискованное использование в целях безопасности. Anthropic описывает это как тестовое развертывание механизмов защиты, предназначенных для управления будущим широким выпуском их более мощной модели Claude Mythos Preview, доступной только по приглашениям. Для пользователей Shannon Lite в частности, следствие конкретно: сканирование, включающее рассуждения модели о живой эксплуатации SQL-инъекций, обхода аутентификации или SSRF, попадает в категорию, которую Anthropic классифицирует как «высокорискованное двойное применение» — по умолчанию блокируется, но может быть настроено для легитимных пользователей защиты через Программу верификации кибербезопасности.
CVP — это бесплатная программа, основанная на подаче заявки. Anthropic стремится отвечать на заявки в течение двух рабочих дней. Одобрение привязано к конкретному идентификатору организации, поэтому команды, выполняющие сканирование Shannon Lite в нескольких рабочих пространствах, должны подтвердить, какую организацию покрывает одобрение. Одно из текущих ограничений: организации с соглашениями о нулевом хранении данных не имеют права участвовать в программе.
Поскольку Shannon Lite направляет все рассуждения ИИ через API Anthropic, стоимость сканирования является прямой функцией от опубликованных тарифов Opus 4.7. Более ранние оценки примерно в $40–$55 за сканирование средней сложности основывались на Claude 3.5 Sonnet. Opus 4.7 стоит $25 за миллион выходных токенов — существенно дороже, чем более ранние модели, — а его новый токенизатор также может генерировать до 35% больше токенов для одного и того же входного текста. Командам следует ознакомиться с текущими тарифами API Anthropic перед масштабированием сканирований.
Исходный код покидает ваш периметр
Shannon Lite, версия с открытым исходным кодом, отправляет исходный код вашего приложения и захваченный во время сканирования живой HTTP-трафик на серверы Anthropic для обработки. Организации, работающие в соответствии с требованиями к резидентности данных, обрабатывающие регулируемый исходный код или работающие в отраслях со строгими обязательствами по конфиденциальности кода, должны оценить это перед запуском сканирования. Shannon Pro, коммерческий уровень Keygraph, предлагает модель саморазмещаемого раннера, где код и вызовы API остаются в собственной инфраструктуре клиента, — но версия с открытым исходным кодом не предоставляет эквивалентного варианта.
Специалисты по безопасности в более широком смысле отмечают, что инструменты ИИ, обрабатывающие исходный код во время тестирования, создают риски обработки данных, если разрешения и потоки данных не проверяются тщательно. Меры по смягчению рисков, рекомендованные в собственной документации Keygraph, недвусмысленны: запускать Shannon Lite только против изолированных или промежуточных сред. Инструмент никогда не должен запускаться против производственных систем.
Базовый уровень авторизации не изменился
Агенты эксплуатации Shannon Lite не симулируют атаки. Они выполняют реальные HTTP-запросы к работающему приложению, что означает, что они могут изменять записи в базах данных, создавать тестовые учетные записи и запускать системы ограничения скорости. Запуск Shannon Lite против системы, которой вы не владеете или на тестирование которой у вас нет явного письменного разрешения, является федеральным преступлением согласно Закону о компьютерном мошенничестве и злоупотреблениях, 18 U.S.C. § 1030, независимо от того, как упакован или распространяется инструмент. То же требование к авторизации применимо ко всем существующим инструментам тестирования на проникновение. Документация Shannon Lite делает это явным.
Место Shannon Lite на более широком рынке
Рынок ИИ-тестирования на проникновение в 2026 году включает несколько конкурирующих инструментов. Коммерческая платформа XBOW работает примерно на 85% по собственному бенчмарку с черным ящиком и координирует сотни параллельных агентов. NodeZero от Horizon3.ai делает упор на проверенные пути атак и верификацию исправлений для корпоративных сетевых сред. PentestGPT остается фреймворком с открытым исходным кодом для рассуждений с помощью ИИ, но, в отличие от Shannon Lite, не выполняет активную эксплуатацию автономно.
Отличительная черта Shannon Lite — эксплуатация с белым ящиком по цене открытого исходного кода, — но инструмент ограничен приложениями с открытым исходным кодом и не может проводить оценку с черным ящиком систем, для которых исходный код недоступен. В одном опубликованном сравнении от сообщества исследователей безопасности также отмечается, что бенчмарки в стиле XBOW оптимизированы для скорости и успеха автономной эксплуатации, в то время как Руководство по тестированию веб-безопасности OWASP (WSTG) оптимизировано для полноты и строгой документации отрицательных результатов наряду с находками. Отчет Shannon Lite, охватывающий только подтвержденные эксплойты, не является отчетом, соответствующим WSTG, — это проверенный вывод сканера. Команды, использующие его для оценки, ориентированной на соответствие требованиям, должны понимать это различие, прежде чем представлять находки аудиторам.
Случай CI/CD
Основной аргумент Shannon Lite заключается в том, что периодическое тестирование на проникновение, проводимое человеком, структурно несовместимо с темпом разработки, который обеспечивают помощники по кодированию на базе ИИ. Собственная формулировка Keygraph пряма: такие инструменты, как Claude Code и Cursor, позволяют командам непрерывно выпускать код, но большинство тестов на проникновение по-прежнему проводятся раз или два в год — оставляя промежуток между выпусками без проверки. Квартальный или ежегодный человеческий пентест, стоимостью в десятки тысяч долларов, уже был грубым инструментом до того, как ИИ ускорил циклы разработки. Против кодовой базы, существенно переписанной каждые две недели, он обеспечивает почти нулевое значимое покрытие.
Shannon Lite разработан для запуска по требованию против каждой сборки или выпуска, предоставляя подтвержденные эксплуатируемые находки с доказательствами proof-of-concept в течение нескольких часов и за малую долю стоимости профессионального мероприятия. 43 000 звезд и продолжающийся тренд TypeScript отражают признание этого сдвига среди работающих разработчиков. Будет ли он интегрирован в конвейеры CI/CD в качестве стандартного шлюза, зависит от двух решений, которые теперь требуют большего внимания, чем шесть месяцев назад: зарегистрированы ли команды в Программе верификации кибербезопасности Anthropic и позволяет ли их политика резидентности данных покидать исходному коду их собственную инфраструктуру.
Shannon Lite v1.2.0 доступен в репозитории KeygraphHQ/shannon на GitHub под лицензией AGPL-3.0. Организации, рассматривающие возможность создания коммерческой службы сканирования на его основе, должны оценить требования AGPL к раскрытию информации о сетевых службах перед продолжением. Всегда получайте явное письменное разрешение перед запуском инструментов тестирования на проникновение против любой системы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Kyle Belmonte
