Pentesting continuo: Shannon porta il red teaming nell’era dell’AI

Redazione RHC : 15 Dicembre 2025 19:10

Shannon opera come un penetration tester che non si limita a segnalare vulnerabilità, ma lancia veri e propri exploit. L’intento di Shannon è quello di violare la sicurezza della tua applicazione web prima che qualcuno con intenzioni malevole possa farlo.

Utilizzando il suo browser integrato, Shannon cerca autonomamente nel tuo codice punti deboli da sfruttare e, per dimostrare la reale esistenza di tali vulnerabilità, esegue attacchi concreti, come quelli da iniezione e quelli volti a bypassare i sistemi di autenticazione.

La verifica della sicurezza tramite penetration test resta limitata generalmente a una sola volta l’anno. se svolta manualmente Ne deriva una significativa falla nella sicurezza. Per i restanti 364 giorni, potresti essere a rischio senza saperlo.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Shannon sopperisce a questa mancanza ricoprendo il ruolo di pentester su richiesta. Oltre a identificare possibili criticità, esegue effettivamente exploit, fornendo prove di concetto delle vulnerabilità riscontrate.

Questo strumento ha superato i penetration tester umani e i sistemi proprietari nel benchmark XBOW, segnando un passaggio verso test di sicurezza continui. Shannon simula le tattiche del red team, coprendo l’intero processo di ricognizione, analisi delle vulnerabilità, sfruttamento e reporting. Il suo principio di funzionamento include:

• Analizzando il flusso di dati di mappatura del codice sorgente
• Distribuzione di agenti paralleli per rilevare vulnerabilità OWASP critiche (ad esempio difetti di iniezione, XSS, SSRF e autenticazione).
• Integrazione di strumenti come Nmap e automazione del browser
• Per ridurre al minimo i falsi positivi, nei report di livello professionale vengono incluse solo le vulnerabilità riproducibili confermate da PoC.

Caratteristiche

Una gamma di funzioni è offerta dal software Shannon, che permette di rendere automatiche varie attività finora svolte manualmente. Queste possono essere riassunte come segue:

• Funzionamento completamente autonomo : avvia il pentest con un singolo comando. L’intelligenza artificiale gestisce tutto, dagli accessi 2FA/TOTP avanzati (incluso l’accesso con Google) alla navigazione nel browser, fino al report finale, senza alcun intervento.
• Report di livello Pentester con exploit riproducibili : fornisce un report finale incentrato su risultati comprovati e sfruttabili, completo di Proof-of-Concept copiabili e incollabili per eliminare i falsi positivi e fornire risultati fruibili.
• Copertura delle vulnerabilità critiche OWASP : attualmente identifica e convalida le seguenti vulnerabilità critiche: iniezione, XSS, SSRF e autenticazione/autorizzazione non funzionante, con altri tipi in fase di sviluppo.
• Test dinamici basati sul codice: analizza il codice sorgente per orientare in modo intelligente la strategia di attacco, quindi esegue exploit live, basati su browser e riga di comando, sull’applicazione in esecuzione per confermare il rischio reale.
• Basato su strumenti di sicurezza integrati : migliora la fase di scoperta sfruttando i principali strumenti di ricognizione e test, tra cui Nmap, Subfinder, WhatWeb e Schemathesis, per un’analisi approfondita dell’ambiente di destinazione.
• Elaborazione parallela per risultati più rapidi : ottieni il tuo report più velocemente. Il sistema parallelizza le fasi più dispendiose in termini di tempo, eseguendo contemporaneamente analisi e exploit per tutti i tipi di vulnerabilità.

Prestazioni effettive

Nei test di benchmark sulle vulnerabilità, Shannon ha dimostrato capacità pratiche che superano la scansione statica: Questi risultati dimostrano che Shannon possiede la capacità autonoma di compromettere completamente le applicazioni. Sviluppato sulla base dell’SDK Claude Agent di Anthropic, con il supporto di Shannon è possibile svolgere:

• Test white-box di repository monolitici o ambienti integrati utilizzando Docker
• Accesso con autenticazione a due fattori
• Integrazione della pipeline CI/CD

Sono disponibili due versioni:

• La versione Lite (licenza AGPL-3.0) è adatta ai ricercatori.
• La versione Pro aggiunge la funzionalità di analisi del flusso di dati LLM per le aziende.

Un test tipico dura da 1 a 1,5 ore e costa circa 50 dollari, e fornisce risultati che includono un riepilogo dell’esecuzione e una Proof of Concept (PoC). Grazie all’utilizzo da parte del team di sviluppo di strumenti di programmazione basati sull’intelligenza artificiale come Claude per accelerare i test, Shannon consente di effettuare test di sicurezza giornalieri in ambienti non di produzione, colmando le lacune di copertura nei penetration test annuali.

Gli sviluppatori sottolineano che deve essere utilizzato in modo conforme solo dopo aver ottenuto l’autorizzazione e mettono in guardia contro l’esecuzione di test di attacco potenzialmente dannosi in ambienti di produzione.

Lo strumento è open source su GitHub e i contributi della community sono benvenuti per ampliarne le capacità di rilevamento.

Licenza

Il software Shannon è distribuito sotto licenza GNU Affero General Public License v3.0 (AGPLv3), una delle licenze copyleft più restrittive. Questa licenza consente l’uso commerciale, la modifica, la distribuzione e l’uso privato del software, includendo anche una concessione esplicita dei diritti di brevetto. Tuttavia, impone che qualsiasi versione modificata o lavoro derivato venga rilasciato sotto la stessa licenza, preservando gli avvisi di copyright e di licenza originali.

Una caratteristica chiave dell’AGPLv3 è l’obbligo di rendere disponibile il codice sorgente completo anche quando il software viene utilizzato per fornire un servizio tramite rete (ad esempio un servizio web o SaaS). In questo caso, l’uso in rete è considerato a tutti gli effetti una forma di distribuzione. La licenza esclude qualsiasi garanzia e limita la responsabilità degli autori, rendendo il software disponibile “così com’è”, senza assicurazioni sul suo funzionamento o sulla sua idoneità a scopi specifici.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli