A/B Testing mit KI – Automatisiertes Testing für Entwickler 2026
A/B Testing mit KI-Coding-Agents und PostHog oder GrowthBook: So setzt du automatisiertes Testing mit Vibe Coding um - DSGVO-konform und Open Source.
Was ist Shannon? Der autonome KI-Pentester für Web-Apps 2026
Shannon ist ein autonomer White-Box-KI-Pentester für Webanwendungen und APIs, entwickelt von Keygraph. Das Tool analysiert den Quellcode einer Anwendung, identifiziert Angriffsvektoren und führt anschließend echte Exploits gegen die laufende Anwendung aus – nur verifizierte Schwachstellen mit funktionierendem Proof-of-Concept landen im Abschlussbericht.
Während klassische SAST-Tools Muster erkennen und theoretische Risiken melden, kombiniert Shannon statische Quellcodeanalyse mit dynamischer Ausführung: Injection-Angriffe, XSS, SSRF und Authentication-Bypass werden automatisiert getestet und bestätigt. Stand April 2026 erreicht Shannon Lite eine Erfolgsrate von 96,15 Prozent auf dem hint-free XBOW-Benchmark (100 von 104 Exploits).
Shannon positioniert sich explizit als Gegengewicht zu Vibe Coding: „Der Red Team zu deinem Vibe-Coding Blue Team.“ Wer mit Claude Code oder Cursor im Dauerbetrieb Code generiert, kann Shannon in die CI/CD-Pipeline integrieren und so jedes Release automatisch auf Sicherheitslücken prüfen lassen.
For developers who want to experiment with application security or run early vulnerability checks on their applications, tools like Shannon could be very helpful.
Shannon in deine CI/CD-Pipeline integrieren?
Finde das passende Angebot für dein Projekt
🤖
Hey! Ich bin CodeBot. Lass uns herausfinden, wie wir dein Projekt zum Fliegen bringen.
Was soll entstehen?
Shannon Lite vs. Shannon Pro: Die zwei Editionen im Vergleich
Shannon ist in zwei Editionen verfügbar, die sich in Funktionsumfang und Deployment unterscheiden:
- Shannon Lite (Open Source): Das Kern-Framework auf GitHub. Geeignet für lokales White-Box-Pentesting eigener Anwendungen. Start per
npx @keygraph/shannon setup, ein einzelner Befehl startet den vollständigen Pentest-Durchlauf. - Shannon Pro: Die All-in-One-AppSec-Plattform von Keygraph. Kombiniert SAST, SCA (Software Composition Analysis), Secrets-Scanning, Business-Logic-Testing und autonomes Pentesting in einem Workflow. Self-Hosted-Deployment über ein Runner-Modell, bei dem Quellcode und LLM-Calls die eigene Infrastruktur nie verlassen.
Für europäische Unternehmen mit DSGVO-Anforderungen ist Shannon Pro besonders interessant: Das Self-Hosted-Modell stellt sicher, dass weder Quellcode noch KI-Anfragen über Keygraph-Server laufen. NCA unterstützt beim Aufbau solcher on-premise Sicherheitsinfrastrukturen – kostenlose Erstberatung anfragen.
Wie Shannon technisch funktioniert: White-Box-Pentesting in 4 Phasen
Shannon durchläuft bei jedem Pentest vier Phasen automatisch:
- Reconnaissance: Shannon liest den Quellcode und erstellt ein Modell der Anwendungsarchitektur – Routen, Auth-Mechanismen, Datenbankzugriffe.
- Parallele Schwachstellenanalyse: KI-Agenten suchen gleichzeitig nach Injection-Pfaden, XSS-Sinks, SSRF-Vektoren und Broken Authentication.
- Parallele Exploitation: Browser-Automatisierung und CLI-Tools führen die gefundenen Angriffsvektoren live gegen die laufende Anwendung aus.
- Reporting: Nur Schwachstellen mit funktionierendem Proof-of-Concept gelangen in den Abschlussbericht – inklusive Copy-Paste-Exploit-Code.
Shannon Pro erweitert diesen Ablauf um eine Code Property Graph (CPG)-Analyse: Der Graph kombiniert Abstract Syntax Tree (AST), Control Flow Graph und Program Dependence Graph. LLM-Agenten bewerten an jedem Knoten des Pfads, ob die eingesetzte Sanitization für genau diese Schwachstelle an genau dieser Stelle ausreicht – eine Fähigkeit, die reguläre SAST-Tools mit statischen Allowlists nicht haben.
Shannon installieren und starten: Schritt-für-Schritt
Shannon Lite läuft via Docker und benötigt einen Anthropic API Key. Die Installation ist in zwei Modi möglich: via npx (empfohlen für schnellen Einstieg) oder lokal per Git-Clone.
Code:
# npx-Modus (kein Clone notwendig)
npx @keygraph/shannon setup
npx @keygraph/shannon start -u https://your-app.com -r /pfad/zum/repo
# Lokaler Modus
git clone https://github.com/KeygraphHQ/shannon.git
cd shannon
cp .env.example .env
# ANTHROPIC_API_KEY in .env eintragen
./shannon start -u https://your-app.com -r my-repo
Nach dem Start steht unter http://localhost:8233 das Temporal Web UI bereit, über das der Pentest-Fortschritt beobachtet werden kann. Shannon unternimmt 2FA/TOTP-Logins selbständig – manuelles Eingreifen ist nicht erforderlich. NCA integriert Shannon auf Wunsch direkt in bestehende CI/CD-Pipelines: Erstberatung anfragen.
Was ist Shannon und wofür wird es 2026 eingesetzt?
Shannon ist ein autonomer KI-Pentester von Keygraph für Webanwendungen und APIs. Das Tool analysiert Quellcode, identifiziert Angriffsvektoren und führt echte Exploits aus – ohne manuelle Eingriffe. Eingesetzt wird es in CI/CD-Pipelines, um Sicherheitslücken vor jedem Release automatisch zu erkennen.
Wie gut ist Shannon im Vergleich zu klassischen SAST-Tools 2026?
Shannon kombiniert statische Analyse mit dynamischer Exploitation. Während SAST-Tools theoretische Risiken melden, liefert Shannon nur Schwachstellen mit funktionierendem Proof-of-Concept. Stand April 2026 erreicht Shannon Lite 96,15 Prozent Erfolgsrate auf dem XBOW-Benchmark (100 von 104 Exploits).
Ist Shannon kostenlos nutzbar 2026?
Shannon Lite ist Open Source und kostenlos auf GitHub verfügbar. Für die Ausführung werden eigene Anthropic API Keys benötigt, die nach API-Nutzung abgerechnet werden. Shannon Pro ist eine kommerzielle Plattform von Keygraph mit zusätzlichen SAST- und Compliance-Funktionen.
Wie installiert man Shannon unter Linux und macOS 2026?
Shannon benötigt Docker und einen Anthropic API Key. Die einfachste Installation: npx @keygraph/shannon setup, dann npx @keygraph/shannon start mit URL und Repo-Pfad. Alternativ per Git-Clone: Repository klonen, .env mit API Key befüllen, ./shannon start aufrufen.
Ist Shannon DSGVO-konform einsetzbar 2026?
Shannon Lite läuft vollständig lokal auf eigener Infrastruktur. LLM-Calls gehen direkt an die Anthropic API mit dem eigenen Key – kein Code verlasst das eigene Netzwerk via Drittanbieter. Shannon Pro ergänzt das um ein Self-Hosted-Runner-Modell, bei dem auch die Orchestrierung on-premise bleibt.
Welche Schwachstellentypen erkennt Shannon?
Shannon deckt die wichtigsten OWASP-Kategorien ab: SQL-Injection, XSS (Cross-Site Scripting), SSRF (Server-Side Request Forgery) und Broken Authentication/Authorization. Shannon Pro ergänzt Business-Logic-Testing, bei dem KI-Agenten applikationsspezifische Invarianten testen.
Kann Shannon in eine CI/CD-Pipeline integriert werden?
Ja. Shannon unterstützt GitHub PR-Scanning und lässt sich als automatisierter Pentest bei jedem Build ausführen. Der Pentest startet per Befehl und läuft vollständig autonom durch, inklusive 2FA-Logins. NCA unterstützt bei der Integration in bestehende Pipelines.
Was ist der Unterschied zwischen Shannon Lite und Shannon Pro?
Shannon Lite ist das Open-Source-Kern-Framework für White-Box-Pentesting. Shannon Pro ergänzt SAST, SCA (Abhängigkeitsanalyse), Secrets-Scanning und Business-Logic-Testing in einem einzigen korrelierten Workflow mit Self-Hosted-Deployment und CI/CD-Integration.
Brauche ich für Shannon zwingend einen Claude-API-Key?
Shannon Lite nutzt standardmäßig die Anthropic API (Claude). Der eigene ANTHROPIC_API_KEY wird in der .env-Datei gesetzt. Ein Betrieb ohne Anthropic API ist in Shannon Lite aktuell nicht vorgesehen – Shannon ist explizit als „KI-Pentester powered by Claude“ konzipiert.
Welche Programmiersprachen und Frameworks unterstützt Shannon?
Shannon ist sprachagnostisch und analysiert Webanwendungen über Quellcode-Struktur und laufende HTTP-Endpunkte. Es funktioniert mit PHP/Symfony, Node.js, Python-Frameworks und anderen Web-Technologien – vorausgesetzt, der Quellcode liegt vor (White-Box-Voraussetzung).
Hat Shannon bekannte Sicherheitsprobleme im eigenen Code?
Im März 2026 wurde in einem GitHub-Issue gemeldet, dass Shannon Lite mit deaktivierter Docker-Container-Isolation arbeitet (seccomp:unconfined, ipc:host) und einen hardcodierten Router-Key verwendet. Keygraph reagierte auf das Issue. Wer Shannon in Produktionsumgebungen einsetzt, sollte diese Konfigurationen vorab prüfen.
Wie bindet Shannon NCA-Beratung in den Einsatz ein?
NCA unterstützt Unternehmen bei der DSGVO-konformen Einrichtung von Shannon on-premise, der Integration in CI/CD-Pipelines (z.B. Symfony/PHP-Projekte) und der Auswertung von Shannon-Berichten. Kontakt: roland@nevercodealone.de für ein kostenloses Erstgespräch.
AGI – Artificial General Intelligence: Definition und aktueller Stand 2026
AGI (Artificial General Intelligence) bezeichnet KI-Systeme mit menschenähnlicher Intelligenz. Definition, aktueller Stand, Kontroversen und was AGI für Entwickler bedeutet.
AutoGen – Microsofts Framework für Multi-Agent-Systeme
AutoGen ist Microsofts Open-Source-Framework für Multi-Agent-Systeme. Mehrere KI-Agenten arbeiten autonom zusammen und lösen komplexe Aufgaben durch Konversation.
ChatGPT – OpenAIs KI-Chatbot und die GPT-5-Modellserie 2026
ChatGPT und die GPT-5-Serie: GPT-5.2, 5.3 Instant und 5.4 mit Features, Benchmarks und Einordnung für Entwickler 2026.
Claude Agent Teams – Parallele KI-Agenten in Claude Code
Claude Agent Teams ermöglicht parallele KI-Agenten in Claude Code. Aktivierung, Setup, Anwendungsfälle und Best Practices für Entwickler 2026.
Claude Code Plugin Marketplace – Dezentrale Erweiterungen für KI-Entwicklung 2026
Der Claude Code Plugin Marketplace ist ein dezentrales, Git-basiertes System für KI-Entwickler-Plugins. So finden, installieren und erstellen Sie eigene Marketplaces 2026.
Claude Code Plugins – Erweiterbares Ökosystem für KI-gestützte Entwicklung
Claude Code Plugins bündeln Slash-Commands, Agents, Hooks und MCP-Server in teilbare Pakete. So erweitern Entwickler ihr KI-Coding-Tool 2026.
Claude Code Remote – Lokale KI-Coding-Sessions von überall steuern 2026
Claude Code Remote Control, SSH-Zugriff und Cloud Sessions: So steuern Sie Ihre KI-Coding-Sessions von unterwegs. Setup, Sicherheit und Vergleich 2026.
Claude Cowork
Was ist Claude Cowork 2026? Der KI-Agent von Anthropic für Desktop-Automatisierung. Funktionen, Anwendungsfälle und Einschränkungen im Überblick.
Clawdbot Installation – Setup-Anleitung für den Self-Hosted KI-Assistenten
Clawdbot installieren: Komplette Anleitung für macOS, Linux und Windows (WSL2). Node.js Setup, Provider-Anbindung, Sicherheitskonfiguration und Best Practices für den Always-on-Betrieb.
Clawdbot Mac Mini Setup – Best Practices für den Always-on KI-Assistenten
Clawdbot auf Mac Mini einrichten: Komplette Anleitung für den Always-on KI-Assistenten. Hardware-Auswahl, macOS Headless-Konfiguration, Energy Saver, SSH-Zugang, Docker-Isolation und Best Practices 2026.
CodexBar – Token-Limits im macOS Menu Bar 2026
CodexBar zeigt Token-Limits für Claude Code, Cursor und Codex direkt im macOS Menu Bar. Kostenlos, MIT-lizenziert, 7.400+ GitHub Stars.
ComfyUI \u2013 Node-basierte KI-Bildgenerierung und Workflow-Engine 2026
ComfyUI ist eine Open-Source-Engine f\u00fcr KI-Bildgenerierung mit node-basiertem Workflow-Editor. Lokal, DSGVO-konform, unterst\u00fctzt Flux, SDXL und mehr.
CrewAI – Rollenbasierte KI-Agenten-Teams
CrewAI ist ein Framework für rollenbasierte Multi-Agent-Systeme. Definiere Agenten mit Rollen, Zielen und Backstories – sie arbeiten autonom als Team zusammen.
Cursor BugBot – KI-gestütztes Debugging in Echtzeit
Cursor BugBot ist der KI-Debugging-Agent für Vibe Coding. Über 2 Mio. PRs/Monat, 70 % Resolution Rate. Wie er funktioniert und wann er hilft.
Firebase Studio – Googles KI-Entwicklungsumgebung für Vibe Coding und Full-Stack-Apps 2026
Firebase Studio ist Googles cloudbasierte KI-Entwicklungsumgebung für Full-Stack-Apps. Prototyping per Prompt, Gemini-KI, kostenlos nutzbar. NCA Glossar 2026.
Google Antigravity
Google Antigravity 2026: Die revolutionäre Agent-First IDE mit autonomen KI-Agenten. Powered by Gemini 3 Pro. Kostenlos für Entwickler. Installation, Features und Vergleich.
Google Gemini Gems – Custom KI-Assistenten erstellen
Google Gemini Gems sind anpassbare KI-Assistenten mit 1-Million-Token-Kontext und Live-Google-Drive-Sync. Vergleich mit ChatGPT Custom GPTs.
Google Stitch – KI-natives Vibe Design Tool für UI-Entwicklung 2026
Google Stitch: KI-natives Vibe Design Tool – UI aus Text und Sprache generieren, prototypen und direkt in Code exportieren. Kostenlos in Google Labs.
Kimi K2.5 – Moonshots multimodales Open-Source-KI-Modell mit Agent Swarm
Kimi K2.5 von Moonshot AI: Multimodales MoE-Modell mit 1 Billion Parametern, Agent Swarm und Kimi Code CLI. Features, Benchmarks und Einsatz 2026.
LangGraph – Graph-basierte Multi-Agent-Workflows
LangGraph ist LangChains Framework für zustandsbehaftete Multi-Agent-Workflows. Graphen definieren Kontrollfluss, Zyklen und Entscheidungslogik für produktionsreife KI-Systeme.
Moltbook – Das Social Network für KI-Agenten
Was ist Moltbook? Das virale Social Network für KI-Agenten – Funktionsweise, Sicherheitslücken und warum Experten davor warnen. Alles Wichtige kompakt erklärt.
MoltBot (ClawdBot)
MoltBot (früher ClawdBot) ist der virale Open-Source KI-Assistent mit 60.000+ GitHub Stars. Was kann er, wie funktioniert er, und lohnt sich die Installation?
Nano Banana 2 – Googles KI-Bildgenerator auf Gemini 3.1 Flash Image 2026
Nano Banana 2 (Gemini 3.1 Flash Image): Googles schnellster KI-Bildgenerator mit 4K, Text-Rendering und Web-Grounding. Jetzt kostenlos verfügbar.
NVIDIA NemoClaw – Sicherer KI-Agent-Stack mit OpenShell und Nemotron 2026
NVIDIA NemoClaw erweitert OpenClaw um Privacy- und Security-Controls. Lokale KI-Modelle via Nemotron, OpenShell-Guardrails, Deploy mit einem Befehl.
Ollama – Lokale KI-Modelle für Entwickler und Vibe Coding 2026
Ollama ermöglicht lokale KI-Modelle ohne Cloud. Subagenten, Websuche, Vibe Coding und DSGVO-konform. Alle Features, Modelle und Setup-Tipps 2026.
Open WebUI – Das Self-Hosted KI-Interface fuer lokale Sprachmodelle 2026
Open WebUI ist das führende Self-Hosted Interface für lokale KI-Modelle. DSGVO-konform, Docker-Setup, RAG, Multimodell – so richtest du es 2026 ein.
OpenClaw – Der autonome KI-Agent
OpenClaw ist ein autonomer KI-Agent mit 100.000+ GitHub Stars. Ursprünglich ClawdBot, dann MoltBot – jetzt OpenClaw. Messaging-Integration, Skills-System und Sicherheitsrisiken erklärt.
OpenSpec – Spec-Driven Development für KI Coding Assistants
OpenSpec ist ein leichtgewichtiges Framework für Spec-Driven Development mit KI-Coding-Assistenten. Single Source of Truth für Claude Code, Cursor und Copilot.
Qwen – Die KI-Modellfamilie von Alibaba
Qwen ist Alibabas Open-Source KI-Modellfamilie mit Qwen3, Qwen3-Coder und Qwen3-Omni. Apache 2.0, lokal nutzbar, DSGVO-freundlich.
RentAHuman.ai – Der Marktplatz, auf dem KI-Agenten Menschen mieten
RentAHuman.ai ist der Marktplatz, auf dem KI-Agenten Menschen für physische Aufgaben buchen. Funktionsweise, MCP-Integration, Risiken und Chancen 2026.
Voyage AI voyage-3-m-exp – Embedding-Modell als OpenAI-Ersatz im NCA Chatbot 2026
Wie NCA OpenAI-Embeddings durch Voyage AI voyage-3-m-exp auf HuggingFace ersetzte. Erfahrungsbericht, Benchmarks und Migrationsanleitung 2026.
Web MCP – Das Model Context Protocol fuer Remote KI-Agenten
Web MCP verbindet KI-Agenten ueber Streamable HTTP mit externen Tools und Datenquellen. Alles ueber Remote MCP Server, Sicherheit und Einsatz 2026.
