00:00:00यह शैनन (Shannon) है, एक ओपन-सोर्स ऑटोनॉमस AI पेन टेस्टर जो कोड एनालिसिस करता है और
00:00:05ब्राउज़र ऑटोमेशन का इस्तेमाल करके लाइव कारनामों को अंजाम देता है ताकि सर्वर-साइड
00:00:11रिक्वेस्ट फोर्जरी से लेकर क्रॉस-साइट स्क्रिप्टिंग और SQL इंजेक्शन जैसी तमाम सुरक्षा कमियों को ढूंढ सके,
00:00:17और आपको बिना किसी गलत रिपोर्ट (false positive) के एक विस्तृत सुरक्षा रिपोर्ट देता है। लेकिन क्लॉड (Claude)
00:00:22कोड सिक्योरिटी की घोषणा और इस तथ्य के साथ कि शैनन क्लॉड SDK पर बना है, यानी आप अपने
00:00:27सब्सक्रिप्शन का इस्तेमाल नहीं कर सकते, तो क्या इसे सीखने का कोई मतलब है जो शायद ज़्यादा समय तक न टिके?
00:00:31सब्सक्राइब बटन दबाएं और चलिए इसके बारे में विस्तार से जानते हैं।
00:00:32अपनी पिछली नौकरियों में से एक में, हम किसी बड़े रिलीज़ से पहले बाहरी पेन टेस्टर्स को हज़ारों डॉलर देते थे,
00:00:38सिर्फ यह जानने के लिए कि वहां कुछ बग्स थे जिन्हें हमें ठीक करना था और फिर हमें दोबारा टेस्ट करवाना पड़ता था,
00:00:43जिससे हमारा काफी समय और पैसा खर्च होता था। शैनन इसी समस्या को हल करने के लिए बनाया गया है।
00:00:48आप शैनन को जितनी बार चाहें उतनी बार चला सकते हैं। आप इसे CI/CD पाइपलाइन में भी डाल सकते हैं और
00:00:53इसे ऑटोमैटिक तरीके से चला सकते हैं। और क्योंकि यह ओपन सोर्स है, यह पूरी तरह से मुफ्त है। वैसे, इसका एक पेड वर्जन भी है,
00:00:58जिसके बारे में हम बाद में बात करेंगे। लेकिन एक ऐसा व्यक्ति होने के नाते जो सुरक्षा विशेषज्ञ नहीं है, मैं काली लिनक्स (Kali Linux) शुरू करने के बजाय
00:01:03अपने प्रोजेक्ट को शैनन के ज़रिए चलाना पसंद करूँगा। असल में, चलिए शैनन को काम करते हुए देखते हैं। शैनन को
00:01:08एंथ्रोपिक एजेंट SDK का उपयोग करके बनाया गया है। इसलिए इसे काम करने के लिए आपको क्लॉड API की (key) की ज़रूरत होगी। दुर्भाग्य से,
00:01:13सब्सक्रिप्शन भी काम नहीं करेगा, लेकिन मैंने इसे एक नॉन-रूट यूज़र का उपयोग करके VPS पर इंस्टॉल किया है और मैं
00:01:20इसे OASP जूस शॉप पर चला रहा हूँ, जो एक ऐसा ऐप है जिसे टेस्टिंग के लिए ढेरों कमियों के साथ डिज़ाइन किया गया है।
00:01:25अब मैंने पहले ही शैनन रिपो (repo) को क्लोन कर लिया है, जिसकी आपको ज़रूरत होगी अगर आप इसे चलाना चाहते हैं।
00:01:30और इसे काम करने के लिए, आपको वह रिपॉजिटरी जिसे आप टेस्ट करना चाहते हैं, शैनन की
00:01:34रिपोस डायरेक्टरी के अंदर रखनी होगी। तो मेरे पास यहाँ जूस शॉप इसके अंदर है। और जूस शॉप प्रोजेक्ट चलने के साथ,
00:01:39मैं यह कमांड चलाने जा रहा हूँ, जो ब्राउज़र टेस्टिंग के लिए स्थानीय रूप से चल रहे ऐप से कनेक्ट होगा
00:01:44और कोड को स्कैन करने के लिए रिपो डायरेक्टरी के अंदर मौजूद रिपो से जुड़ेगा। अब, अगर आप पहली बार
00:01:50शैनन चला रहे हैं, क्योंकि यह डॉकर कंपोज़ (Docker compose) का उपयोग करता है, तो इसे पहले डॉकर हब से
00:01:54बहुत सारी इमेज डाउनलोड करनी होंगी। लेकिन क्योंकि मैं पहले ही उस प्रक्रिया से गुज़र चुका हूँ, यह सीधे यहाँ आ जाता है।
00:01:58हमें टेम्पोरल वर्कफ़्लो (temporal workflow) का एक लिंक मिलता है और हम इसे वेब UI का उपयोग करके देख सकते हैं, जो इस तरह दिखता है,
00:02:03जिसमें उन सभी चरणों को दिखाया गया है जिन्हें पूरा किया जाना है। या हम वास्तविक समय में लॉग्स देखने के लिए यह कमांड चला सकते हैं,
00:02:07जिसे मैं कभी-कभी पसंद करता हूँ क्योंकि वेब UI हमेशा सबसे ज़्यादा जानकारी नहीं दिखाता है।
00:02:12लेकिन रुकिए, टेम्पोरल क्या है? मुझे लगा कि हम शैनन के बारे में बात कर रहे थे। खैर,
00:02:16शैनन पेन टेस्ट प्रोजेक्ट के आकार के आधार पर एक या कई घंटे ले सकते हैं और टेम्पोरल
00:02:21स्थिर निष्पादन (durable execution) सुनिश्चित करता है, चाहे स्थिति कुछ भी हो। इसलिए यदि पेन टेस्ट के बीच में आपका कंप्यूटर क्रैश हो जाता है
00:02:26या आपके क्लाउड क्रेडिट खत्म हो जाते हैं और आपको टॉप अप करने की ज़रूरत होती है, तो आप कोई प्रगति नहीं खोते हैं। टेम्पोरल
00:02:32बिल्कुल याद रखता है कि आपने कहाँ छोड़ा था और शैनन को उसी चेकपॉइंट से दोबारा शुरू करता है। मुझे कमेंट्स में
00:02:36बताएं कि क्या आप टेम्पोरल के बारे में एक समर्पित वीडियो चाहते हैं, लेकिन यह शैनन के सभी चरणों
00:02:42और गतिविधियों को भी व्यवस्थित करता है। और भले ही केवल पाँच चरण हों, लेकिन उनके अंदर बहुत सारी चीज़ें होती हैं।
00:02:47मैं आपको दिखाता हूँ। प्री-फ़्लाइट चरण से शुरू करते हुए जो यह सुनिश्चित करता है कि API क्रेडेंशियल वैध हैं,
00:02:53डॉकर कंटेनर तैयार हैं और रिपो वास्तव में मौजूद है। फिर प्री-रिकॉन स्टेज, जो यह समझने के लिए
00:03:00कोड का विश्लेषण करता है कि ऐप कैसे काम करता है। जैसे कि आर्किटेक्चर, एंट्री पॉइंट्स की मैपिंग और सुरक्षा के तरीके।
00:03:05इसके बाद वास्तविक रिकॉन स्टेज है, जो प्री-रिकॉन से बहुत अलग है क्योंकि यहाँ
00:03:12ऐप में नेविगेट करने के लिए प्लेराइट (playwright) का उपयोग किया जाता है। तो यह बटन क्लिक करेगा, फॉर्म भरेगा और
00:03:18नेटवर्क रिक्वेस्ट को देखने, स्क्रीनशॉट लेने, कुकीज़ देखने, यानी ऐप की पूरी कार्यक्षमता का नक्शा बनाने के लिए उसका उपयोग करेगा।
00:03:24और फिर चौथा चरण समानांतर (parallel) रूप से पाँच पाइपलाइन चलाता है। तो यहाँ हमारे पास
00:03:31इंजेक्शन से संबंधित कमियाँ और उनके फायदे हैं, फिर क्रॉस-साइट स्क्रिप्टिंग की कमियाँ और फायदे,
00:03:38फिर ऑथेंटिकेशन, और सर्वर-साइड रिक्वेस्ट फोर्जरी। और अंत में हमारे पास ऑथराइजेशन है। यानी
00:03:45विशेषाधिकार प्राप्त डेटा या अन्य लोगों की जानकारी तक पहुँचना। और यह सब एक साथ पाँच अलग-अलग
00:03:52एजेंटों पर कमियों के लिए और फिर अन्य पाँच पर उनके फायदों के लिए होता है। और अंत में हमारे पास पाँचवाँ चरण है, जो
00:03:59पिछले पाँच चेक को मिलाकर सब कुछ एक व्यापक पेन टेस्ट रिपोर्ट में संकलित करता है। रिपोर्ट की बात करें तो,
00:04:07देखते हैं कि हमारा पेन टेस्ट कैसा चल रहा है। तो लगभग ढाई घंटे के बाद, पूरी प्रक्रिया
00:04:12पूरी हो गई है और हम यहाँ देख सकते हैं कि यह प्री-रिकॉन और फिर रिकॉन एजेंट पर
00:04:17बढ़ने से पहले प्री-फ़्लाइट वैलिडेशन के साथ शुरू हुआ। और फिर यहाँ यह सभी वल्नरेबिलिटी (vulnerability)
00:04:25चेक चलाता है। तो हमारे पास इंजेक्शन वल्नरेबिलिटी एजेंट, क्रॉस-साइट स्क्रिप्टिंग, ऑथराइजेशन, SSRF हैं।
00:04:31और आप देख सकते हैं कि इनमें से कुछ के लिए, हरी रेखा ठोस नहीं है। ऐसा इसलिए है क्योंकि इसे दोबारा कोशिश
00:04:36करनी पड़ी क्योंकि मेरे क्लाउड क्रेडिट खत्म हो गए थे। तो आप देख सकते हैं कि यहाँ एक 2 है और इनके लिए,
00:04:40कोई दोबारा कोशिश नहीं हुई। तो अगर ये दोबारा कोशिशें नहीं होतीं तो यह ढाई घंटे से भी तेज़ हो सकता था, लेकिन
00:04:46मुझे नहीं लगता कि यह दो घंटे से कम होता। वैसे भी, पाँच वल्नरेबिलिटी चेक करने के बाद,
00:04:51यह फिर पाँच एक्सप्लॉइट (exploit) चेक करने की ओर बढ़ता है। तो हम यहाँ SSRF देख सकते हैं, हमारे पास
00:04:56ऑथ एक्सप्लॉइट है, हमारे पास इंजेक्शन है और इसी तरह। और एक बार जब यह सब हो जाता है, तो हम देख सकते हैं कि
00:05:02ऑथ एक्सप्लॉइट में सबसे ज़्यादा समय लगता है। फिर यह रिपोर्ट एजेंट का उपयोग करके सब कुछ समेट देता है। अब,
00:05:07ज़ाहिर है, अगर हम चाहें, तो हम प्रत्येक चरण के बारे में अधिक जानकारी देखने के लिए इस सबको विस्तार से देख सकते हैं, लेकिन
00:05:13मैं टेम्पोरल पर कोई विशेषज्ञ नहीं हूँ और मुझे यकीन है कि अगर हम इसके दस्तावेज़ देखेंगे, तो
00:05:17इस प्लेटफॉर्म का उपयोग करने के तरीके के बारे में बहुत कुछ और होगा। लेकिन चलिए अब शैनन द्वारा तैयार की गई अंतिम रिपोर्ट को देखते हैं।
00:05:22तो यहाँ हमारे जूस शॉप प्रोजेक्ट की डिलिवरेबल्स डायरेक्टरी में, हम उन सभी रिपोर्ट्स की सूची देख सकते हैं
00:05:28जो इसने तैयार की हैं। और यह मेरी सोच से कहीं ज़्यादा है। तो चलिए पहले इस रिपोर्ट को देखते हैं,
00:05:33जो ऑथ एनालिसिस (auth analysis) है। और आप देख सकते हैं कि इसके शीर्ष पर एक सारांश है। और यहाँ,
00:05:37इसने नोट किया है कि 11 गंभीर कमियाँ पहचानी गई हैं और हम देख सकते हैं कि वे क्या हैं।
00:05:43तो छह में से शून्य ऑथेंटिकेशन एंडपॉइंट्स ने HTTPS लागू किया, जिसका अर्थ बनता है क्योंकि मैं
00:05:47इसे लोकल रूप से चला रहा था। और फिर हमारे पास उचित कस्प कंट्रोल भी है, जो इसमें गायब था।
00:05:52और ऑथेंटिकेशन एंडपॉइंट्स में पर्याप्त रेट लिमिट नहीं थी। वे गायब हैं। यह वास्तव में
00:05:56विस्तृत है। मेरा मतलब है, अगर आप नीचे स्क्रॉल करते हैं, तो हम देख सकते हैं कि समस्याएँ क्या थीं, वे कहाँ थीं,
00:06:01और वे एंडपॉइंट्स जिन्होंने उन्हें पैदा किया। अब मैं आपको बोर नहीं करूँगा और हर एक रिपोर्ट को नहीं
00:06:05देखूँगा, लेकिन चलिए सारांश को देखते हैं, जिसे कॉम्प्रिहेंसिव सिक्योरिटी असेसमेंट रिपोर्ट (Comprehensive Security Assessment Reports) कहा जाता है।
00:06:10और इसके अंदर, हमारे पास उपयोग किए गए मॉडल, प्रोजेक्ट के दायरे के बारे में विवरण है। और अब
00:06:15यदि हम नीचे स्क्रॉल करते हैं, तो हम देख सकते हैं कि इसे चार गंभीर ऑथ वल्नरेबिलिटी मिलीं जिनका पूरी तरह से
00:06:21फायदा उठाया गया और उन्हें यहाँ सूचीबद्ध किया गया है। वाह, यह बहुत गहन है, लेकिन इसे देखिए। अगर हम
00:06:26और भी नीचे स्क्रॉल करते हैं, तो यह हमें रिपोर्ट का सारांश देता है। तो यह पहला आइडल (idle) वाला है
00:06:31और थोड़ा और नीचे स्क्रॉल करें। हम देख सकते हैं कि एक हमलावर इसका फायदा कैसे उठा सकता है। तो बिल्कुल वही कर्ल (curl)
00:06:38कमांड जिसे वे विवरण के साथ चला सकते हैं और जिस प्रकार की जानकारी वे निकाल सकते हैं। और
00:06:43इतनी बारीकी हर एक कमी के लिए मौजूद है, जो यह दिखाती है कि असेसमेंट में
00:06:48कितना विवरण दिया गया है। अब, यदि आप रुचि रखते हैं, तो मैं इस विवरण के अंदर सभी रिपोर्ट्स का
00:06:54एक लिंक छोड़ने जा रहा हूँ। लेकिन एक रिपो को स्कैन करने के लिए क्लॉड सोनेट (Claude Sonnet) के लिए ढाई घंटे बहुत लंबा समय है।
00:06:59क्या शैनन प्रो (Shannon Pro) मदद के लिए कुछ कर सकता था? तो ऐसा नहीं लगता कि
00:07:04शैनन प्रो गति में मदद कर सकता है, लेकिन यह कुछ अन्य चीज़ें करता है जैसे CSVV स्कोरिंग प्रदान करना,
00:07:09जो बेसिक या मुफ्त वर्जन में नहीं है। इसमें CI/CD पाइपलाइन सपोर्ट, API एक्सेस है। और अधिक
00:07:16महत्वपूर्ण बात यह है कि यदि आप एक एंटरप्राइज यूज़र हैं, तो आपको वे सभी चीज़ें मिलती हैं जिनकी आप अपेक्षा करते हैं, जिनमें OASP
00:07:22अनुपालन रिपोर्टिंग के साथ-साथ SOC 2 और PCI DSS भी शामिल हैं। तो भले ही ढाई घंटे बहुत
00:07:27लंबा समय है, मैंने कुछ रिसर्च की है और पाया है कि शैनन का पहला रन सबसे लंबा समय लेता है और फिर
00:07:32उसके बाद के रन बहुत तेज़ होते हैं। अब मुझे पता है कि आप क्या सोच रहे हैं। एक ही पेन टेस्ट पर क्लॉड सोनेट 4.6
00:07:37चलाने में लगभग ढाई घंटे। इसमें क्रेडिट्स में कितना खर्च हुआ? बस इतना समझ लें कि बहुत ज़्यादा।
00:07:43मैंने लगभग $66 टॉप अप किए थे और मेरे पास इतने ही बचे। तो इस पेन टेस्ट को चलाने में
00:07:50लगभग $60 क्लॉड क्रेडिट खर्च हुए, जो कि किसी मानव टेस्टर को काम पर रखने से सस्ता है, लेकिन फिर भी यह
00:07:55काफी पैसा है। और मुझे अपना क्लॉड प्रो या मैक्स सब्सक्रिप्शन इस्तेमाल करना अच्छा लगता, जिससे पूरी
00:08:00चीज़ बहुत सस्ती हो जाती, जिसकी उम्मीद है कि क्लॉड की कोड सुरक्षा आपको तब करने देगी जब
00:08:05यह ठीक से रिलीज़ हो जाएगी, जब तक कि कीग्राफ (Keygraph) की टीम शैनन को ओपन AI
00:08:10एजेंट SDK जैसी किसी चीज़ में दोबारा नहीं लिखती या वैसल AI SDK का उपयोग नहीं करती, जो आपको कई और मॉडलों का उपयोग करने की अनुमति देता है। लेकिन कुल मिलाकर,
00:08:16यदि आप एक स्टार्टअप हैं और किसी मानव पेन टेस्टर पर बहुत सारा पैसा खर्च नहीं करना चाहते हैं, तो शैनन एक
00:08:21अच्छा विकल्प है। यदि आप कम पैसे वाले इंडी हैकर (indie hacker) हैं, तो शायद रुकें और बस
00:08:26प्रोडक्ट रिलीज़ करें और देखें कि क्या लोग वास्तव में इसका उपयोग करते हैं। और जब हम AI और सुरक्षा के विषय पर हैं,
00:08:30तो अगर आप जानना चाहते हैं कि VPS पर ओपनक्लॉड (OpenClaw) को सुरक्षित रूप से कैसे इंस्टॉल किया जाए,
00:08:34तो अगले वीडियो को देखें जहाँ मैं स्टेप-बाय-स्टेप बताता हूँ कि बिल्कुल ऐसा कैसे करना है।