00:00:00Este es Shannon, un probador de penetración de IA autónomo y de código abierto que analiza código y ejecuta
00:00:05exploits en vivo mediante automatización de navegador para hallar vulnerabilidades de seguridad, desde falsificación de
00:00:11peticiones del lado del servidor hasta cross-site scripting, inyección SQL y mucho más, ofreciendo un informe
00:00:17de seguridad detallado y exhaustivo con cero falsos positivos. Pero con el anuncio de Claude
00:00:22Code Security y el hecho de que Shannon se basa en el SDK de Claude, lo que impide usar
00:00:27tu suscripción actual, ¿vale la pena aprender algo que quizá no dure mucho tiempo?
00:00:31Suscríbete y vamos a descubrirlo.
00:00:32En uno de mis empleos anteriores, pagábamos miles de dólares a auditores externos antes de un
00:00:38lanzamiento importante, solo para descubrir errores que debíamos corregir y volver a auditar,
00:00:43lo que costaba mucho tiempo y, por supuesto, dinero. Shannon existe precisamente para solucionar esto.
00:00:48Puedes ejecutar Shannon cuantas veces quieras. Incluso puedes integrarlo en un pipeline de CI/CD y ejecutarlo
00:00:53automáticamente. Y al ser de código abierto, es totalmente gratis. Bueno, hay una versión de pago,
00:00:58de la que hablaremos luego. Como no soy experto en seguridad, prefiero pasar mi proyecto
00:01:03por Shannon que arrancar Kali Linux. De hecho, veamos a Shannon en acción. Shannon está construido
00:01:08con el SDK de Anthropic Agent. Por lo tanto, necesitarás una clave de API de Claude para que funcione. Por desgracia,
00:01:13la suscripción no servirá, pero lo tengo instalado en un VPS usando un usuario sin privilegios de root y voy
00:01:20a ejecutarlo contra OASP Juice Shop, una app diseñada con muchas vulnerabilidades para fines de prueba.
00:01:25Ya he clonado el repositorio de Shannon, lo cual necesitarás si quieres ejecutarlo.
00:01:30Para que funcione, el repositorio que quieras probar debe estar dentro del directorio "repos" de Shannon.
00:01:34Así que tengo Juice Shop aquí dentro. Con el proyecto Juice Shop en marcha,
00:01:39voy a ejecutar este comando, que se conectará a la app local para las pruebas de navegador
00:01:44y al repositorio en el directorio para escanear el código. Si es la primera
00:01:50vez que usas Shannon, como utiliza Docker Compose, primero tendrá que descargar varias
00:01:54imágenes de Docker Hub. Pero como yo ya lo hice, pasa directamente a este punto.
00:01:58Obtenemos un enlace al flujo de trabajo de Temporal y podemos verlo en la interfaz web, que se ve
00:02:03así, mostrando todos los pasos necesarios. O podríamos ejecutar este comando para ver los logs
00:02:07en tiempo real, lo cual prefiero a veces, ya que la interfaz web no siempre muestra toda la información.
00:02:12Pero espera, ¿qué es Temporal? Pensé que hablábamos de Shannon. Pues bien,
00:02:16las pruebas de Shannon pueden durar una o varias horas según el tamaño del proyecto, y Temporal
00:02:21garantiza una ejecución duradera en cualquier situación. Si tu ordenador falla a mitad del proceso
00:02:26o te quedas sin créditos de Claude y debes recargar, no pierdes el progreso. Temporal
00:02:32recuerda exactamente dónde te quedaste y reinicia Shannon desde ese punto de control. Déjame
00:02:36en los comentarios si quieres un vídeo dedicado a Temporal, pero también orquestas las fases
00:02:42y actividades de Shannon. Y aunque solo hay cinco fases, pasan muchas cosas dentro de ellas.
00:02:47Te enseño. Empezamos con la fase "pre-flight" que verifica que las credenciales de la API sean válidas,
00:02:53los contenedores Docker estén listos y el repo exista. Luego la fase "pre-recon", que analiza
00:03:00el código para entender cómo funciona la app: arquitectura, mapeo de puntos de entrada y patrones de seguridad.
00:03:05La siguiente es la fase de "recon" real, que es muy distinta a la anterior porque aquí
00:03:12se usa Playwright para navegar por la app. Hará clic en botones, rellenará formularios y usará
00:03:18eso para observar peticiones de red, capturas, cookies y mapear toda la funcionalidad de la app.
00:03:24Luego, la fase cuatro ejecuta cinco procesos en paralelo. Aquí tenemos vulnerabilidades de
00:03:31inyección y exploits, luego vulnerabilidades y exploits de cross-site scripting,
00:03:38después autenticación, falsificación de peticiones del lado del servidor y, finalmente, autorización. O sea,
00:03:45el acceso a datos privilegiados o información de terceros. Todo esto ocurre en paralelo
00:03:52en cinco agentes distintos para vulnerabilidades y otros cinco para exploits. Y por último, la fase cinco,
00:03:59que compila todo en un informe de auditoría exhaustivo combinando las últimas cinco comprobaciones.
00:04:07Hablando de informes, veamos cómo va nuestra prueba. Tras casi dos horas y media,
00:04:12el proceso ha terminado y vemos que empezó con la validación "pre-flight" antes de
00:04:17pasar al agente de "pre-recon" y luego al de "recon". Aquí es donde ejecuta todos
00:04:25los chequeos: el agente de inyección, cross-site scripting, autorización y SSRF.
00:04:31Verás que en algunos la línea verde no es continua. Esto es porque tuvo que reintentar
00:04:36al quedarme sin créditos de Claude. Ves que hay un "dos" aquí, y en los otros no hubo
00:04:40reintentos. Podría haber sido más rápido de no ser por esto, pero no creo
00:04:46que hubiera bajado de las dos horas. En fin, tras los cinco chequeos de vulnerabilidades,
00:04:51pasa a los cinco de exploits. Vemos SSRF aquí, el exploit de autenticación,
00:04:56el de inyección, etc. Una vez terminados todos (el de autenticación
00:05:02es el que más tarda), el agente de informes lo empaqueta todo. Por supuesto,
00:05:07podríamos expandir cada fase para ver más información, pero no soy
00:05:13experto en Temporal y seguro que la documentación explica mucho mejor cómo usar la plataforma.
00:05:17Echemos un vistazo al informe final que Shannon ha generado.
00:05:22En el directorio "deliverables" de nuestro proyecto Juice Shop, vemos la lista de todos
00:05:28los informes generados. Son muchos más de los que esperaba. Veamos primero
00:05:33este informe, que es el análisis de autenticación. Tiene un resumen arriba y aquí
00:05:37se indica que se han identificado 11 vulnerabilidades críticas y podemos ver cuáles son.
00:05:43Cero de seis puntos de acceso de autenticación usaban HTTPS, lo cual es lógico porque
00:05:47se ejecutaba en local. También faltaba el control de seguridad adecuado,
00:05:52y los puntos de acceso no tenían límites de tasa. Es muy detallado. Si bajamos,
00:05:56vemos exactamente cuáles eran los problemas, dónde estaban y los puntos de acceso
00:06:01que los causaban. No los voy a aburrir revisando cada informe,
00:06:05pero veamos el resumen llamado "Comprehensive Security Assessment Reports".
00:06:10Aquí hay detalles del modelo usado y el alcance del proyecto. Si bajamos,
00:06:15vemos que halló cuatro vulnerabilidades críticas de autenticación totalmente explotadas
00:06:21y las enumera. Es muy minucioso. Pero miren esto: si bajamos
00:06:26más, nos da un resumen del informe. Este es el primero de inactividad,
00:06:31y bajando aún más, vemos exactamente cómo un atacante podría explotarlo. El comando
00:06:38curl exacto que podrían ejecutar con los detalles y el tipo de información que extraerían.
00:06:43Este nivel de detalle está en cada vulnerabilidad, lo que demuestra la profundidad
00:06:48del análisis realizado. Si les interesa, dejaré un enlace a todos los
00:06:54informes en la descripción. Dos horas y media es mucho tiempo para que Claude Sonnet
00:06:59escanee un repo. ¿Podría Shannon Pro haber ayudado? No parece que
00:07:04Shannon Pro mejore la velocidad, pero ofrece otras cosas como puntuación CVSS,
00:07:09que la versión gratuita no incluye. Tiene soporte para CI/CD y acceso a la API. Y lo más
00:07:16importante, para usuarios empresariales ofrece informes de cumplimiento OASP,
00:07:22así como SOC 2 y PCI DSS. Aunque dos horas y media sea mucho tiempo,
00:07:27he investigado y la primera ejecución de Shannon es la más lenta; las siguientes
00:07:32son mucho más rápidas. Ya sé lo que están pensando: casi dos horas y media usando
00:07:37Claude Sonnet 3.5 en una sola auditoría, ¿cuánto costó en créditos? Digamos que mucho.
00:07:43Recargué unos 66 dólares y esto es lo que quedó. Se gastaron casi 60 dólares
00:07:50en créditos de Claude para esta prueba. Es más barato que un humano, pero sigue siendo
00:07:55dinero. Me habría encantado usar mi suscripción de Claude Pro o Max, lo que lo haría
00:08:00mucho más económico. Espero que Claude Code Security permita esto cuando se lance
00:08:05oficialmente, a menos que el equipo de Keygraph reescriba Shannon en algo como el SDK
00:08:10de OpenAI o usen el SDK de Vercel AI, que permite usar muchos más modelos. En general,
00:08:16si eres una startup y no quieres gastar mucho en un auditor humano, Shannon es una
00:08:21buena alternativa. Si eres un desarrollador independiente con poco presupuesto, quizá convenga
00:08:26esperar y lanzar el producto para ver si la gente lo usa. Ya que hablamos de IA y seguridad,
00:08:30si quieres saber cómo instalar OpenClaude de forma segura en un VPS,
00:08:34mira el siguiente vídeo donde explico paso a paso exactamente cómo hacerlo.