1 saat önce
1
Siber güvenliğe odaklanan Keygraph ekibi tarafından geliştirilen Shannon, yalınce uyarılar sunmanın ötesinde, gerçek güvenlik açıklarını da ortaya çıkaran yapay zeka tek pentester (penetrasyon testçisi). Shannon, başkası yapmadan önce web uygulamanızı saldırıya uğratmayı amaçlıyor. Kodunuzdaki saldırı vektörlerini otomatik olarak arayan Shannon, ardından yerleşik tarayıcısını kullanarak enjeksiyon saldırıları ve kişilik doğrulama atlaması gibi gerçek güvenlik açıklarını gerçekleştiriyor. Böylece bu yepyeni kuşak yapay zeka hacker, güvenlik açığının gerçekten istismar edilebilir olduğunu kanıtlıyor. Shannon'ın XBOW Benchmark'ta yüzde 96,15 başarı oranı elde ettiğini da ekleyelim.
Shannon, Keygraph Güvenlik ve Uyumluluk Platformu'nun ilköğretim bileşeni olarak karşımıza çıkıyor. Shannon'ın sunduğu özellikler arasında Tamamen Otonom Çalışma, Tekrarlanabilir Saldırılarla Pentester Düzeyinde Raporlar, Kritik OWASP Güvenlik Açığı Kapsamı ve Kod Duyarlı Dinamik Test yer alıyor.
Tamamen otonom çalışma kaspamında tek tek komutla pentest'i (penatrasyon testi) başlatabiliyorsunuz. Yapay zeka, Google ile buluşma açma karışmış bulunmak üzere gelişmiş 2FA/TOTP buluşma açma işlemlerinden ve tarayıcı navigasyonundan nihai olarak rapora kadar her arasında biri şeyi sıfır müdahale ile hallediyor.
Tekrarlanabilir saldırılarla pentester düzeyinde raporlar sayesinde ekipler, kanıtlanmış, istismar edilebilir bulgulara odaklanan, kopyala-yapıştır Proof-of-Concepts ile tamamlanmış nihai olarak tek bildiri sunuyor. Böylece yanlış pozitifleri ortadan kaldırmak ve eyleme geçirilebilir sonuçlar sağlamak mümkün oluyor.
Kritik OWASP güvenlik açığı içerikı ise şu anda Enjeksiyon, XSS, SSRF ve Bozuk Kimlik Doğrulama/Ytesirlendirme gibi eleştirel güvenlik açıklarını tanımlayıp doğruluyor. Shannon'ın geliştiricisi ilave türün geliştirme aşamasında olduğunu belirtiyor.
Shannon, şifre duyarlı dinamik testleri ile kaynak kodunuzu çözümleme ederek saldırı stratejisini akıllıca yönlendiriyor. Bu adımın ardından çalışan uygulamada canlı, tarayıcı ve komut satırı tabanlı saldırılar gerçekleştirerek gerçek dünyadaki riski doğruluyor.
Bu arada Shannon'ın entegre güvenlik araçları ile güçlendirildiğini belirtelim. Shannon, keşif aşamasını geliştirmek amacıyla hedefleri ortamın derinlemesine analizi için Nmap, Subfinder, WhatWeb ve Schemathesis gibi önde gelen keşif ve testleri araçlarından yararlanıyor.
Bunlara ilave olarak Shannon, daha hızlı sonuçlar için paralel işleme da sunuyor. Raporunuzu daha hızlı almanızı sağlayan bu adımda sistem, en zamanlar alıcı aşamaları paralel hale getirerek tüm güvenlik açığı türleri için çözümleme ve saldırıyı eşzamanlı olarak yürütüyor.
Shannon'ın Github sayfasında Claude Code ve Cursor gibi araçlar sayesinde, yazılım ekiplerinin kesintisiz olarak şifre gönderdiği bununla birlikte penetrasyon testinin yaklaşık olarak yılda tek kez yapıldığı belirtiyor. Bu durum, büyük tek güvenlik açığı yaratırken, ekiplerin 364 gün boyunca, farkında olmadan üretim aşamasına güvenlik açıkları gönderebileceğine ilgi çekiliyor. Bu noktada Shannon, isteğe bağlı white penstester olarak bu açığı kapatıyor. Gerçek saldırılar gerçekleştiren Shannon'ın güvenlik açıklarının beton kanıtlarını sunduğunu söyleyebiliriz. Böylece ekipler, her arasında biri sürümün güvenli olduğundan emin olan olabiliyor.
Shannon Lite ve Shannon Pro olarak ikisi sürüm sunulmakta. AGPL-3.0 lisansı altında sunulan Shannon Lite, güvenlik ekipleri, bağımsız araştırmacılar ve öz uygulamalarını testleri edenler tarafından yeğleme edilebilir. Ticari ruhsat altında sunulan Shannon Pro ise daha gelişmiş özellikleriyle öne çıkarken, CI/CD entegrasyonu ve özel hayır lüzumtiren işletmeler tarafından kullanılabilir.
English (US) ·