文章总结： BurpAgent是一款引入MCP协议的开源BurpSuite插件，将LLM推理能力与渗透测试结合。它支持GPT-4o直接调用本地工具、执行命令及查询数据库，具备自定义脚本扩展和智能流量分析功能。通过内置人设和安全沙箱，AI能自动执行漏洞验证等操作，显著提升渗透测试与代码审计的自动化效率。 综合评分： 93 文章分类： 渗透测试,安全工具,AI安全,代码审计,WEB安全

Burp Suite + GPT-4o + MCP？这款开源插件让渗透测试进入 AI Agent 时代！

列车长

渗透安全记

2026年1月6日 15:32 广东

在渗透测试和代码审计中，我们经常需要在 Burp Suite、终端、Python 脚本和各种工具之间来回切换。虽然现在有很多 Burp 的 AI 插件，但大多数只能做简单的“对话”或“解释数据包”， 无法真正代替我们去执行命令、读取文件或调用本地工具 。

今天，我要给大家介绍一款我刚刚开源的 Burp Suite 插件 —— BurpAgent 。

它不仅仅是一个简单的 GPT 客户端，它是 首款引入了 MCP (Model Context Protocol) 协议 的 Burp 插件。这意味着什么？这意味着你可以让 GPT-4o 直接连接并控制你的本地工具链！

###  什么是 BurpAgent？

BurpAgent 是一个致力于将 LLM (大语言模型) 的推理能力与 Burp Suite 的流量数据相结合的智能助手。

它的核心理念是： AI 不应只是聊天机器人，它应该是一个能干活的 Agent。

核心亮点

1.  独家支持 MCP 协议

这是 BurpAgent 最硬核的功能。通过 MCP (Model Context Protocol)，插件可以连接：

• 本地工具 ：让 AI 直接读取本地代码文件、执行系统命令。
• 远程 Agent ：通过 SSE 协议连接部署在服务器上的复杂安全工具。
• 数据库 ：让 AI 直接查询数据库进行辅助分析。

你只需要在设置里配置一行命令（比如连接本地的文件系统 Server），AI 就能“看到”你的项目代码，结合流量包进行更深度的审计！

2.  自定义工具扩展 (Function Calling)

不再受限于插件内置的功能。你可以编写 Python 或 Bash 脚本，注册为工具，AI 会根据分析需求自动调用！

场景举例：

• 你写了一个 run_sqlmap.py 脚本。

• 当 AI 在流量中发现疑似 SQL 注入点时，它会自动调用这个脚本进行验证，并将 sqlmap 的结果反馈给你。

• 全程无需你手动切出去敲命令！

3. 智能流量分析

• 深度集成 GPT-4o、DeepSeek 等模型。

• 支持自定义 Prompt 模板。

• 技能系统 (Skills) ：预设了“代码审计员”、“红队专家”等不同人设，一键切换 AI 的分析视角。

4. 极致体验

• 异步加载 ：绝不卡顿 Burp 启动。

• 状态监控 ：实时红绿灯显示 MCP 服务连接状态。

• 安全沙箱 ：内置高危命令黑名单，防止 AI “删库跑路”。

如何使用？

第一步：安装插件 在 GitHub Releases 下载 BurpAgent.jar ，在 Burp 扩展中加载即可。

第二步：配置 MCP 或工具 在设置面板，你可以像搭积木一样添加你需要的工具。

比如添加一个本地文件系统支持：

Filesystem|npx -y @modelcontextprotocol/

server-filesystem D:\projects

第三步：一键分析 在 Repeater 中右键 -> Send to BurpAgent 。

坐下来喝杯咖啡，看 AI 帮你分析漏洞、调用工具验证，最后给出修复建议。

下载地址

项目已完全开源，欢迎 Star 和 PR！

GitHub : https://github.com/lcz24/BurpAgent

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全记 列车长《Burp Suite + GPT-4o + MCP？这款开源插件让渗透测试进入 AI Agent 时代！》