文章总结： 本文介绍利用AI工具’小龙虾’进行自动化安全测试的方法，通过整合burpH5发包工具和vuln-hunter漏洞检测技能，实现自动挖洞、代码审计与逆向分析。作者强调AI是提升效率的辅助工具而非万能解决方案，提供具体部署流程（需放置特定目录并关闭安全防护）并推荐免费资源（如qclaw的5000wtoken/日）。实战测试显示在靶场效果良好，但实际仅发现未授权文档泄露漏洞。 综合评分： 65 文章分类： 渗透测试,AI安全,安全工具,WEB安全,安全开发

ai小龙虾自动挖洞获取赏金

原创

xiaohang xiaohang

星航安全实验室

2026年4月2日 17:13 辽宁

1.相信大家随着ai发展，有些技术更新很快比方代码审计，工具才写出来ai更新一下就淘汰了。我觉得现在安全领域比较好的就是小龙虾自动挖洞  小龙虾自动逆向  小龙虾自动代码审计。ai是牛逼那是基于你自己能力加快进度提高生产力，而不是有了ai你就乱杀了。然后各位师傅这个效果可能不是太牛逼。这个不是商业产品。希望大家体谅一下。思路是skill  +chrome devtools +burph5 自动点击页面操作然后发包（数据包是获取network 不是走的代理师傅们可以尝试一下）

1.下载https://github.com/sutxiaosi-w/burpH5  要放在D:\挖洞 burph5发包用的(因为这个skill是基于这样写的)

提供 接口  cli  mcp 进行发包  如果启动不了要ai直接运行 因为只在本地测试没有打包docKer 为的是本地给ai 提供手脚

2.https://github.com/sutxiaosi-w/vuln-hunter  下载以后放到  各种小龙虾或者 终端工具 skill

3.开始ai 挖洞了 ai太花钱了,如果只是尝试自动挖洞渗透qclaw 免费每天5000wtoken。但是效果还是要牛逼模型

或者搞个机器人

这些安全防护要关闭 。

codex使用

下面是效果，靶场基本问题还行

这个是实战只找了未授权文档泄露 （ai是赋能不是变牛逼）

最后感谢师傅点个star

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星航安全实验室 xiaohang xiaohang《ai小龙虾自动挖洞获取赏金》