重新定义Web安全测试:AI驱动的BurpSuite扩展震撼登场

admin
admin
admin
0
文章
0
评论
2026-04-21 04:10:16 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: BurpAIAgent是一款基于Kotlin开发的BurpSuite扩展,通过集成Ollama、Claude等多种AI后端和53+MCP工具,将人工智能能力融入渗透测试流程。该工具支持被动扫描代理流量和主动验证62类漏洞,提供三级隐私控制与审计日志功能,需在Java21和BurpSuite2023.12+环境中加载使用。 综合评分: 82 文章分类: 渗透测试,AI安全,安全工具,WEB安全,红队

cover_image

重新定义 Web 安全测试:AI 驱动的 Burp Suite 扩展震撼登场

棉花糖糖糖 棉花糖糖糖

棉花糖网络安全工具箱

2026年4月19日 11:02 贵州

在小说阅读器读本章

去阅读

免责声明:本文介绍的工具仅用于授权安全测试。使用者需确保符合适用法律法规,任何未经授权的扫描或攻击行为由使用者自行承担法律责任。

概述

Burp AI Agent 是一款面向 Burp Suite 的 Kotlin 语言编写的安全测试扩展,通过集成多种 AI 后端和 MCP 协议,将人工智能能力深度融入渗透测试工作流。

主界面截图

核心特性

AI 后端支持

| 后端 | 类型 | | — | — | | Ollama | 本地 HTTP | | LM Studio | 本地 HTTP | | NVIDIA NIM | HTTP | | Generic OpenAI-compatible | HTTP | | Gemini CLI | 云端 CLI | | Claude CLI | 云端 CLI | | Codex CLI | 云端 CLI | | OpenCode CLI | 云端 CLI | | Copilot CLI | 云端 CLI |

MCP 工具生态

53+ MCP 工具支持外部 AI 客户端连接,包括:

  • HTTP 请求发送
  • Proxy 历史记录读取
  • Site Map 获取
  • Scope 检查
  • Collaborator 载荷生成
  • 漏洞创建

漏洞扫描能力

覆盖 62 个漏洞类别:

  • 注入类(SQL、命令、代码等)
  • 认证授权类
  • 加密相关
  • 其他常见 Web 安全问题

被动扫描器自动分析代理流量,主动扫描器执行实际漏洞验证。

安装配置

构建要求

  • Java 21
  • Burp Suite 2023.12+

加载扩展

扩展加载

  1. 下载或构建 JAR 文件
  2. Burp Suite 中打开 Extensions > Installed > Add
  3. 选择 Java 类型,加载 JAR 文件

Agent Profiles

扩展首次运行自动安装 Profile 至 ~/.burp-ai-agent/AGENTS/,支持自定义 Profile 扩展。

使用方式

请求分析

  1. 通过 Burp Proxy 浏览目标
  2. Proxy > HTTP History 中右键选择请求
  3. Extensions > Burp AI Agent > Analyze this request

上下文菜单

MCP Server 连接

支持通过 MCP 协议连接 Claude Desktop 等外部 AI 客户端。

配置示例:

{
  "mcpServers": {
    "burp-ai-agent": {
      "command": "npx",
      "args": ["-y", "supergateway", "--sse", "http://127.0.0.1:9876/sse"]
    }
  }
}

Burp Scan Skill

独立的终端扫描技能,支持 Claude Code、Gemini CLI、Codex 等 AI 编程助手通过 MCP 协议调用 Burp 工具进行安全扫描。

包含内容:

  • 53+ MCP 工具参考
  • 被动分析协议
  • 主动测试载荷库(200+ 载荷)
  • 端到端扫描流程
  • 漏洞创建协议

隐私与审计

隐私模式

三级隐私控制:STRICT / BALANCED / OFF,自动过滤敏感数据。

审计日志

JSONL 格式输出,集成 SHA-256 完整性校验,满足合规需求。

技术架构

  • 语言:Kotlin
  • 构建工具:Gradle (Kotlin DSL)
  • 依赖管理:Burp Montoya API、OkHttp3、Ktor Server、MCP SDK
  • 序列化:Jackson、Kotlinx Serialization

源码地址

本公众号非项目作者,仅做技术分享。

https://github.com/six2dez/burp-ai-agent

广告时间

低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。

☟上下滑动查看更多

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《重新定义 Web 安全测试:AI 驱动的 Burp Suite 扩展震撼登场》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0