Capítulo 1: Introducción a Shannon — El Pentester Autónomo de IA
Capítulo 1: Introducción a Shannon
Shannon es un pentester autónomo de inteligencia artificial desarrollado por Keygraph. A diferencia de un escáner de vulnerabilidades convencional, Shannon no solo detecta problemas potenciales: los explota contra la aplicación en ejecución para confirmar que son reales. Solo cuando un exploit tiene éxito, la vulnerabilidad aparece en el reporte final.
Esta distinción es crucial. La mayoría de las herramientas de seguridad inundan al equipo con cientos de hallazgos que luego hay que triagear manualmente. Shannon invierte esa lógica: si no hay prueba de concepto funcional, no hay reporte.
La filosofía: “No Exploit, No Report”
El principio fundamental de Shannon es tan sencillo como radical en el mundo del pentesting automatizado:
Cada vulnerabilidad reportada viene acompañada de una prueba de concepto que demostró ser funcional en la aplicación real bajo análisis.
Esto tiene tres consecuencias importantes:
- Cero falsos positivos estructurales — Si está en el reporte, fue explotado.
- Costo computacional mayor — Requiere ejecutar ataques reales, no solo análisis estático.
- Entorno de pruebas obligatorio — No puede ejecutarse contra producción sin riesgo de daño real.
Esta filosofía es directamente inspirada en cómo trabajan los pentesters humanos de élite: no entregan un PDF con “posibles problemas”, entregan capturas de pantalla con los datos exfiltrados, los tokens capturados o los payloads ejecutados.
¿Por qué Shannon es diferente?
Para entender la propuesta de valor de Shannon, comparémoslo con las categorías de herramientas existentes:
graph LR
A["Escáneres DAST\nOWASP ZAP, Burp"] -->|"Sin código fuente\nMuchos falsos positivos"| X["Reporte con\nmucho ruido"]
B["Herramientas SAST\nSonarQube, Semgrep"] -->|"Solo código\nSin validación runtime"| X
C["Shannon\nIA + Código + Runtime"] -->|"No Exploit No Report"| Y["Reporte con\ncero falsos positivos"]Escáneres DAST tradicionales (ej. OWASP ZAP)
Operan en caja negra: envían peticiones HTTP a la aplicación y analizan las respuestas. Son útiles pero tienen limitaciones importantes:
- No entienden el código fuente ni la lógica de negocio
- Generan muchos falsos positivos
- No pueden navegar flujos de autenticación complejos (TOTP, OAuth, SSO)
- Su cobertura depende del crawling, que puede ser incompleto
Herramientas SAST (ej. Semgrep, SonarQube)
Analizan el código fuente sin ejecutar la aplicación. Son excelentes para encontrar patrones problemáticos en el código, pero:
- No pueden confirmar si una vulnerabilidad es explotable en runtime
- No tienen contexto de la lógica de negocio completa
- Los flujos de datos complejos generan falsos positivos
Shannon: caja blanca + explotación real
Shannon combina ambos mundos. Lee el código fuente para entender la arquitectura y los vectores de ataque, luego ejecuta exploits reales usando automatización de navegador (Playwright) y herramientas CLI para confirmar cada vulnerabilidad.
Arquitectura de pentesting de caja blanca
El concepto de “caja blanca” es central en Shannon. En un pentest de caja blanca, el atacante tiene acceso completo al código fuente de la aplicación. Esto permite:
- Identificar vectores de ataque directamente desde el código, sin depender de crawling
- Entender la lógica de negocio y encontrar fallos de autorización que no serían visibles desde fuera
- Generar payloads más precisos basados en el stack tecnológico real
- Cubrir rutas de código no accesibles públicamente que un escáner externo nunca descubriría
sequenceDiagram
participant Dev as Desarrollador
participant Shannon as Shannon
participant App as Aplicación Target
participant Repo as Código Fuente
Dev->>Shannon: npx shannon start -u https://app.com -r /repo
Shannon->>Repo: Analiza código fuente
Shannon->>App: Reconocimiento con Playwright
Shannon->>Shannon: Genera hipótesis de ataque
Shannon->>App: Ejecuta exploits reales
App-->>Shannon: Respuestas / Evidencias
Shannon->>Dev: Reporte con PoC confirmadosCasos de uso ideales
Shannon es especialmente valioso en estos escenarios:
1. Auditoría pre-producción
Antes de lanzar una nueva versión o feature significativa, ejecutar Shannon contra un entorno de staging da una visión completa de las vulnerabilidades explotables. El costo de ~$50 por auditoría es insignificante comparado con el costo de un breach en producción.
2. Revisión de seguridad para startups
Los equipos pequeños raramente tienen pentesters dedicados. Shannon permite que un equipo de dos desarrolladores realice una auditoría de seguridad completa sin conocimientos especializados en pentesting.
3. Validación de remediaciones
Después de parchear una vulnerabilidad, ejecutar Shannon nuevamente en el mismo workspace verifica que el fix fue efectivo y que no se introdujeron nuevos problemas.
4. CI/CD security gate
Con Shannon Pro, es posible integrar el pentesting como parte del pipeline de CI/CD, bloqueando releases que introduzcan vulnerabilidades críticas confirmadas.
5. Auditoría de dependencias y secretos
Shannon Pro agrega análisis de componentes (SCA) con validación de alcanzabilidad y detección de secretos con verificación de que los tokens encontrados en el código son activos y válidos.
Ediciones disponibles
Shannon existe en dos versiones con propósitos distintos:
Shannon Lite (código abierto, AGPL-3.0)
La versión open source está diseñada para que los equipos de desarrollo auditen sus propias aplicaciones localmente. Incluye:
- Motor de pentesting dinámico completo
- 5 agentes de análisis de vulnerabilidades en paralelo
- Integración con Anthropic, AWS Bedrock y Google Vertex AI
- Soporte de autenticación con TOTP/2FA
- Workspaces reanudables
- Reportes en formato pentest profesional
Shannon Pro (comercial)
La versión Pro agrega una capa de análisis estático agéntico antes del pentesting dinámico:
- SAST con grafos de propiedades de código (CPG) — análisis de flujo de datos trazando desde fuentes hasta sumideros
- SCA con alcanzabilidad — evita falsos positivos verificando si las dependencias vulnerables son realmente alcanzables
- Detección de secretos con validación en vivo — verifica si los tokens encontrados en el código siguen siendo válidos
- Pruebas de lógica de negocio — descubrimiento automático de invariantes específicos de la aplicación
- Correlación estático-dinámica — los hallazgos del SAST alimentan directamente al motor de explotación
¿Para quién es Shannon?
Shannon está dirigido a:
- Equipos de seguridad (AppSec) que necesitan cobertura continua y automatizada
- Desarrolladores que quieren validar la seguridad de su código antes de un release
- Startups que no tienen presupuesto para pentesters dedicados
- Consultores de seguridad que quieren automatizar la fase de reconocimiento y análisis inicial
Shannon no reemplaza a un pentester humano experto para auditorías de certificación o análisis de lógica de negocio muy compleja. Pero complementa y acelera enormemente el trabajo humano.
Consideraciones éticas y legales
Shannon ejecuta exploits reales. Esto significa que puede modificar datos, crear usuarios, exfiltrar información y alterar el estado de la aplicación. Por esta razón:
- Solo úsalo contra sistemas de los que eres propietario o tienes autorización explícita por escrito
- Nunca lo ejecutes contra producción — usa siempre entornos de staging o desarrollo
- El escaneo no autorizado de sistemas ajenos es un delito en prácticamente todas las jurisdicciones
- Los reportes generados pueden contener información sensible de la aplicación auditada
Resumen del capítulo
| Concepto | Detalle |
|---|---|
| Filosofía | No Exploit, No Report |
| Tipo de análisis | Caja blanca (requiere código fuente) |
| Mecanismo | Exploits reales con Playwright + CLI |
| Duración típica | 1 - 1.5 horas por auditoría |
| Costo típico | ~$50 USD en tokens de IA |
| Licencia Lite | AGPL-3.0 (open source) |
| Cobertura OWASP | Inyección, XSS, SSRF, Auth/Authz |
Siguiente paso
Ahora que entiendes la filosofía y el propósito de Shannon, el siguiente capítulo cubre cómo preparar tu entorno para comenzar a usarlo: