{"id":2319,"date":"2026-02-11T15:31:04","date_gmt":"2026-02-11T14:31:04","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/shannon-lia-qui-pentest-votre-code-toute-seule\/"},"modified":"2026-02-11T15:31:04","modified_gmt":"2026-02-11T14:31:04","slug":"shannon-lia-qui-pentest-votre-code-toute-seule","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/shannon-lia-qui-pentest-votre-code-toute-seule\/","title":{"rendered":"Shannon – L’IA qui pentest votre code toute seule"},"content":{"rendered":"

Vous connaissez tous
\nKali Linux<\/a>
\n,
\nMetasploit<\/a>
\net compagnie\u2026 Mais est-ce que vous avez d\u00e9j\u00e0 vu une IA faire un pentest toute seule ? Genre, VRAIMENT toute seule.
\nShannon<\/a>
\n, c’est un framework open source qui l\u00e2che un agent IA sur votre code, et qui encha\u00eene recon, analyse de vulns, et exploitation, tout \u00e7a sans intervention humaine.<\/p>\n

En gros, vous lui filez une URL cible et l’acc\u00e8s \u00e0 votre code source (faut que le repo soit accessible, c’est la base), et l’agent se d\u00e9brouille. Il commence alors par analyser le code en statique\u2026 puis lance des attaques dynamiques sur l’app en live. Pour cela, il d\u00e9ploie plusieurs sous-agents sp\u00e9cialis\u00e9s qui bossent en parall\u00e8le via Temporal, un moteur de workflow.<\/p>\n

\"\"<\/p>\n

Un agent pour la reconnaissance, un pour chercher les injections SQL, un autre pour les XSS, un pour les SSRF, un pour les probl\u00e8mes d’authentification\u2026 Bref, chacun fait son taf et tout remonte dans un rapport final au format JSON.<\/p>\n

Le truc, c’est que Shannon ne se contente pas de scanner b\u00eatement comme un Nessus ou un Burp. L’agent COMPREND votre code. Il lit les routes, les middlewares, les requ\u00eates SQL, et il construit ses attaques en fonction. Du coup, il trouve des trucs que les scanners classiques loupent compl\u00e8tement, genre une injection NoSQL planqu\u00e9e dans un endpoint obscur ou un bypass d’auth via un cookie mal valide. Attention par contre, si votre app utilise un framework un peu exotique ou du code obfusqu\u00e9, y’a des chances que l’agent passe \u00e0 c\u00f4t\u00e9\u2026 comme tout scanner, hein.<\/p>\n

Pour ceux qui se demandent combien coute un
\ntest d’intrusion<\/a>
\nclassique, \u00e7a va de 3 000 \u20ac \u00e0 plusieurs dizaines de milliers d’euros. Shannon, c’est open source et \u00e7a tourne sur Docker, par contre, faudra compter environ 50 dollars en tokens API Anthropic par run\u2026 c’est pas gratuit mais c’est quand m\u00eame 60 fois moins cher qu’un audit humain.<\/p>\n

Cote installation, c’est Docker + Docker Compose, un fichier .env avec votre cle API Anthropic (la variable ANTHROPIC_API_KEY<\/code>, classique), et hop, un docker compose up<\/code> pour lancer le tout. Le workflow complet prend entre 1 h et 1 h 30 selon la taille de votre base de code. Vous pouvez suivre la progression en temps r\u00e9el via l’interface web Temporal sur localhost:8233. (perso, j’aime bien voir les agents bosser en parall\u00e8le, \u00e7a a un c\u00f4t\u00e9 satisfaisant).<\/p>\n

Et attention, Shannon ex\u00e9cute de VRAIES attaques. C’est mutatif. \u00c7a veut dire que si l’agent trouve une injection SQL, il va l’exploiter pour de vrai pour prouver que \u00e7a marche. Du coup, on le lance sur du code \u00e0 soi, en local ou sur un environnement de test. Mais jamais en prod. JAMAIS !!!<\/p>\n

Bon, sauf si vous aimez vivre dangereusement et que votre boss est en vacances\u2026 ^^<\/p>\n

\"\"<\/p>\n

Les agents d’exploitation (Auth, SSRF, XSS, AuthZ) en parall\u00e8le sur la timeline Temporal<\/em><\/p>\n

Pour en avoir le c\u0153ur net, je l’ai lanc\u00e9 sur une app Node.js\/Express maison avec 27 endpoints d’API. 2 heures de scan, 287 transitions d’\u00e9tat, 7 agents qui ont boss\u00e9 en parall\u00e8le\u2026 et une facture Anthropic qui pique un peu. Parce que oui, chaque agent consomme des tokens Claude \u00e0 chaque \u00e9tape d’analyse et d’exploitation, et \u00e7a s’additionne vite. Comptez une cinquantaine de dollars pour un run complet. Bref, c’est pas gratuit de se faire hacker par une IA.<\/p>\n

Cote r\u00e9sultats par contre, plut\u00f4t parlant. Zero injection SQL exploitable, les 23 param\u00e8tres utilisateur ont \u00e9t\u00e9 trac\u00e9s jusqu’aux requ\u00eates et Shannon a confirm\u00e9 que tout \u00e9tait param\u00e9tr\u00e9 correctement. Bien jou\u00e9. Par contre, il a d\u00e9tect\u00e9 6 failles SSRF li\u00e9es \u00e0 des contournements IPv6, des XSS stock\u00e9es via innerHTML sans aucun \u00e9chappement dans le frontend, et surtout\u2026 ZERO authentification sur les 27 endpoints. Genre, n’importe qui peut purger ma base ou cramer vos cr\u00e9dits API Claude sans se connecter. Bon apr\u00e8s, c’est un outil que je me suis dev, qui est un proto local, donc c’est pas expos\u00e9 sur internet.<\/p>\n

Le rapport final est plut\u00f4t bien foutu, je trouve. Pour chaque vuln trouv\u00e9e, vous avez la s\u00e9v\u00e9rit\u00e9 CVSS (critique, haute, moyenne), le vecteur d’attaque utilis\u00e9, une preuve d’exploitation avec les payloads, et surtout des recommandations de correction. Shannon va jusqu’\u00e0 vous montrer la ligne de code fautive, expliquer pourquoi le bypass fonctionne, et proposer le fix. Si vous utilisez d\u00e9j\u00e0 des outils comme
\nSploitus<\/a>
\npour votre veille secu, Shannon c’est le compl\u00e9ment parfait pour passer de la th\u00e9orie \u00e0 la pratique sur votre propre code.<\/p>\n

\"\"<\/p>\n

Le projet est encore jeune, c’est vrai, mais l’approche est int\u00e9ressante. Plut\u00f4t que d’automatiser b\u00eatement des scans, on a donc un agent qui raisonne sur le code et adapte sa strat\u00e9gie. \u00c7a change des outils qui balancent des milliers de requ\u00eates \u00e0 l’aveugle et qui vous noient sous les faux positifs.<\/p>\n

Alors apr\u00e8s, je vous vois venir, vous allez me dire : est-ce que \u00e7a vaut un vrai pentester qui connait votre infra par c\u0153ur et qui sait o\u00f9 chercher les trucs tordus ?<\/p>\n

Pas vraiment, mais pour un premier audit \u00e0 moindre co\u00fbt, \u00e7a fait le taf.<\/p>\n

\nSource<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Vous connaissez tous Kali Linux , Metasploit et compagnie\u2026 Mais est-ce que vous avez d\u00e9j\u00e0 vu une IA faire un pentest toute seule ? Genre, VRAIMENT toute seule. Shannon , c’est un framework open source qui l\u00e2che un agent IA sur votre code, et qui encha\u00eene recon, analyse de vulns, et exploitation, tout \u00e7a sans intervention humaine. En gros, vous lui filez une URL cible et l’acc\u00e8s \u00e0 votre code source (faut que le repo soit accessible, c’est la base), et l’agent se d\u00e9brouille. Il commence alors par analyser le code en statique\u2026 puis lance des attaques dynamiques sur l’app en live. Pour cela, il d\u00e9ploie plusieurs sous-agents sp\u00e9cialis\u00e9s qui bossent en parall\u00e8le via Temporal, un moteur de workflow. Un agent pour la reconnaissance, un pour chercher les injections SQL, un autre pour les XSS, un pour les SSRF, un pour les probl\u00e8mes d’authentification\u2026 Bref, chacun fait son taf et tout remonte dans un rapport final au format JSON. Le truc, c’est que Shannon ne se contente pas de scanner b\u00eatement comme un Nessus ou un Burp. L’agent COMPREND votre code. Il lit les routes, les middlewares, les requ\u00eates SQL, et il construit ses attaques en fonction. Du coup, il trouve des trucs que les scanners classiques loupent compl\u00e8tement, genre une injection NoSQL planqu\u00e9e dans un endpoint obscur ou un bypass d’auth via un cookie mal valide. Attention par contre, si votre app utilise un framework un peu exotique ou du code obfusqu\u00e9, y’a des chances que l’agent passe \u00e0 c\u00f4t\u00e9\u2026 comme tout scanner, hein. Pour ceux qui se demandent combien coute un test d’intrusion classique, \u00e7a va de 3 000 \u20ac \u00e0 plusieurs dizaines de milliers d’euros. Shannon, c’est open source et \u00e7a tourne sur Docker, par contre, faudra compter environ 50 dollars en tokens API Anthropic par run\u2026 c’est pas gratuit mais c’est quand m\u00eame 60 fois moins cher qu’un audit humain. Cote installation, c’est Docker + Docker Compose, un fichier .env avec votre cle API Anthropic (la variable ANTHROPIC_API_KEY, classique), et hop, un docker compose up pour lancer le tout. Le workflow complet prend entre 1 h et 1 h 30 selon la taille de votre base de code. Vous pouvez suivre la progression en temps r\u00e9el via l’interface web Temporal sur localhost:8233. (perso, j’aime bien voir les agents bosser en parall\u00e8le, \u00e7a a un c\u00f4t\u00e9 satisfaisant). Et attention, Shannon ex\u00e9cute de VRAIES attaques. C’est mutatif. \u00c7a veut dire que si l’agent trouve une injection SQL, il va l’exploiter pour de vrai pour prouver que \u00e7a marche. Du coup, on le lance sur du code \u00e0 soi, en local ou sur un environnement de test. Mais jamais en prod. JAMAIS !!! Bon, sauf si vous aimez vivre dangereusement et que votre boss est en vacances\u2026 ^^ Les agents d’exploitation (Auth, SSRF, XSS, AuthZ) en parall\u00e8le sur la timeline Temporal Pour en avoir le c\u0153ur net, je l’ai lanc\u00e9 sur une app Node.js\/Express maison avec 27 endpoints d’API. 2 heures de scan, 287 transitions d’\u00e9tat, 7 agents qui ont boss\u00e9 en parall\u00e8le\u2026 et une facture Anthropic qui pique un peu. Parce que oui, chaque agent consomme des tokens Claude \u00e0 chaque \u00e9tape d’analyse et d’exploitation, et \u00e7a s’additionne vite. Comptez une cinquantaine de dollars pour un run complet. Bref, c’est pas gratuit de se faire hacker par une IA. Cote r\u00e9sultats par contre, plut\u00f4t parlant. Zero injection SQL exploitable, les 23 param\u00e8tres utilisateur ont \u00e9t\u00e9 trac\u00e9s jusqu’aux requ\u00eates et Shannon a confirm\u00e9 que tout \u00e9tait param\u00e9tr\u00e9 correctement. Bien jou\u00e9. Par contre, il a d\u00e9tect\u00e9 6 failles SSRF li\u00e9es \u00e0 des contournements IPv6, des XSS stock\u00e9es via innerHTML sans aucun \u00e9chappement dans le frontend, et surtout\u2026 ZERO authentification sur les 27 endpoints. Genre, n’importe qui peut purger ma base ou cramer vos cr\u00e9dits API Claude sans se connecter. Bon apr\u00e8s, c’est un outil que je me suis dev, qui est un proto local, donc c’est pas expos\u00e9 sur internet. Le rapport final est plut\u00f4t bien foutu, je trouve. Pour chaque vuln trouv\u00e9e, vous avez la s\u00e9v\u00e9rit\u00e9 CVSS (critique, haute, moyenne), le vecteur d’attaque utilis\u00e9, une preuve d’exploitation avec les payloads, et surtout des recommandations de correction. Shannon va jusqu’\u00e0 vous montrer la ligne de code fautive, expliquer pourquoi le bypass fonctionne, et proposer le fix. Si vous utilisez d\u00e9j\u00e0 des outils comme Sploitus pour votre veille secu, Shannon c’est le compl\u00e9ment parfait pour passer de la th\u00e9orie \u00e0 la pratique sur votre propre code. Le projet est encore jeune, c’est vrai, mais l’approche est int\u00e9ressante. Plut\u00f4t que d’automatiser b\u00eatement des scans, on a donc un agent qui raisonne sur le code et adapte sa strat\u00e9gie. \u00c7a change des outils qui balancent des milliers de requ\u00eates \u00e0 l’aveugle et qui vous noient sous les faux positifs. Alors apr\u00e8s, je vous vois venir, vous allez me dire : est-ce que \u00e7a vaut un vrai pentester qui connait votre infra par c\u0153ur et qui sait o\u00f9 chercher les trucs tordus ? Pas vraiment, mais pour un premier audit \u00e0 moindre co\u00fbt, \u00e7a fait le taf. Source<\/p>\n","protected":false},"author":1,"featured_media":2320,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2319","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2319"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2319\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2320"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}