文章总结: Zack-AI-Scanner是一款基于大语言模型的BurpSuite漏洞扫描插件,支持SQL注入、XSS等17种Web漏洞检测,具备WAF绕过和AI智能验证功能。文档详细介绍了插件的安装配置流程、技术架构及多格式报告导出方法,同时包含工具获取渠道和安全证书推广内容。 综合评分: 68 文章分类: WEB安全,安全工具,AI安全,渗透测试,漏洞分析
Burp 大模型Web 漏洞扫描插件 Zack-AI-Scanne
ZackSecurity ZackSecurity
不秃头的安全
2026年4月17日 10:40 北京
在小说阅读器读本章
去阅读
Burp 大模型Web 漏洞扫描插件 Zack-AI-Scanner
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。
知识星球和交流群在最下方。
需要cn*d(中高)/c2n*d(高与支撑单位)/安全证书请联系vx咨询
Zack-AI-Scanner 是一款基于大语言模型的自动化 Web 漏洞扫描工具,作为 Burp Suite 扩展运行。通过 AI 深度学习技术自动分析 HTTP 请求特征,智能识别潜在安全漏洞,动态生成针对性测试Payload,并智能验证漏洞真实性。
核心功能
- **AI 智能扫描**:内置 Skills 模块,依托大语言模型(LLM)自动解析用户请求语义,动态生成适配目标场景的测试策略,提升检测精准度与上下文理解能力。
- **多漏洞类型支持**:覆盖 SQL 注入、XSS、CSRF、SSRF、命令注入、路径遍历、模板注入等 17 种主流 Web 漏洞类型,适配 OWASP Top 10 及实际攻防场景。
- **WAF 绕过能力**:集成多策略 Prompt 工程与语义变形技术,50% 的检测载荷经专门设计用于绕过主流 WAF(如 Cloudflare、ModSecurity、Aliyun WAF),兼顾隐蔽性与有效性。
- **实时结果验证**:采用 AI 驱动的二次验证机制,对初步识别的漏洞进行上下文重分析与响应语义判别,仅当置信度 ≥90% 时标记为高可信漏洞,显著降低误报率。
- **多格式报告导出**:一键生成结构化渗透测试报告,支持 HTML(含交互式图表与折叠详情)与 Markdown(兼容 GitHub/GitLab 渲染,语义清晰、便于协作审阅)双AI 智能扫描:内置 Skills 模块,依托大语言模型(LLM)自动解析用户请求,动态生成适配目标特性的测试策略,提升检测精准度与效率。
技术栈
| 组件 | 技术选型 | | — | — | | 开发语言 | Java 17 | | 构建工具 | Maven (maven-shade-plugin) | | 扩展框架 | Burp Extender API 2.3 | | JSON 处理 | Gson 2.10.1 | | HTTP 客户端 | OkHttp3 4.12.0 | | GUI 框架 | Swing (Java 内置) | | 配置存储 | JSON 文件 (~/.zackai_config.json) |
支持的漏洞类型
支持的 AI 服务提供商
OpenAI (GPT-4, GPT-3.5)
Anthropic (Claude)
Google Gemini
Azure OpenAI
通义千问 (阿里云)
文心一言 (百度)
智谱 AI (GLM)
Kimi (月之暗面)
DeepSeek
讯飞星火
字节豆包
腾讯混元
百川智能
MiniMax
零一万物
阶跃星辰
快速开始
安装
构建项目: mvn clean package
在 Burp Suite 的 Extender 标签页加载生成的 JAR 文件
配置
点击 "配置" 按钮打开配置中心
选择 AI 服务提供商并输入 API Key
点击 "获取模型" 按钮获取可用模型列表
保存配置后即可开始使用
使用
在 Burp Suite 的 Proxy 或其他模块中选择 HTTP 请求
右键点击,选择 "Zack-AI-Scanner" 菜单
选择扫描模式(AI 智能扫描或特定漏洞类型)
在主面板查看扫描进度和结果
导出漏洞报告
目录结构
src/main/java/com/zackai/
├── AISentryExtender.java # Burp 扩展主入口
├── core/ # 核心功能模块
│ ├── AIEngine.java # AI 扫描引擎
│ └── ConfigManager.java # 配置管理器(单例)
├── model/ # 数据模型
│ ├── ScanTask.java # 扫描任务模型
│ ├── VulnResult.java # 漏洞结果模型
│ └── AIProvider.java # AI 服务提供商模型
├── ui/ # UI 组件
│ ├── MainPanel.java # 主面板
│ ├── TaskTablePanel.java # 任务表格
│ ├── TaskDetailPanel.java # 任务详情
│ ├── LogPanel.java # 日志面板
│ ├── ConfigDialog.java # 配置对话框
│ ├── ExportDialog.java # 导出对话框
│ ├── EndpointManagerDialog.java # 端点管理
│ ├── PromptPanel.java # 提示词管理
│ └── HelpPanel.java # 帮助面板
└── util/ # 工具类
└── ReportGenerator.java # 报告生成器
插件使用实例
配置大模型API Key信息:
右击请求包->拓展->Zack-AI-Scanner调用工具,可选择AI智能扫描和单漏洞扫描:
日志统计窗口可实时查看扫描信息:
请求与响应详情窗口可以查看实时的扫描流量:
在任务列表窗口可以查看所有扫描任务和状态,扫描结束导出漏洞报告,支持 HTML 和 Markdown 格式:
HTML 和 Markdown 格式报告内容:
🔄 工具获取
作者:ZackSecurity
项目地址:公众号回复“20260417”即可获取链接
📄往期推荐:
MPScan工具:微信小程序安全审计
工具分享 | FLUX-Web安全扫描工具 v5.4.2更新
CVE-2026-39363:Vite Dev Server WebSocket 任意文件读取漏洞深度剖析
Vim 高危 RCE 漏洞预警:打开文件即执行任意命令(CVE-2026-34714)
【紧急预警】Axios npm 供应链攻击事件完整分析报告——这可能是史上针对 Top 10 npm 包最复杂的攻击
关于我们:
感谢各位大佬们关注-不秃头的安全,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持,考证请加联系vx咨询。
1. 需要考以下各类安全证书的可以联系
①Cn*d,NCC,NVDB🀄️高漏洞证书
②CNNVD中高\漏洞情报\ 一二三级支撑单位均可协助获得
③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA,oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可,证书组团报更便宜,可对公,可开专普票。以下是其他全部证书
【腾讯文档】【信息安全 数据安全 IT认证证书】~不秃头的安全Vx:Meditation0723
https://docs.qq.com/doc/DZmtOckpOakJrcFVv?#
想加群下方二维码,群过期或群满加下方vx拉:
2. 需要入星球的可以私聊优惠
1、维护更新src、cnxd、cnnxd专项漏洞知识库,包含原理、挖掘技巧、实战案例
2、fafo/零零信安 高级会员key
3、最新POC通用报告详情分享思路
4、知识星球专属微信“内部圈子交流群”
5、攻防演练资源分享(免杀、溯源、钓鱼等)
6、新鲜工具分享
7、不定期有工作招聘内推(工作/护网内推)
8、19个专栏会持续更新~提前续费有优惠,好用不贵很实惠
3、其他合作(合法合规)
1、承接红蓝攻防、渗透、安全意识培训、基线核查及加固、应急响应、重保防守、代码审计等安全项目(须授权),需要攻防团队或岗位招聘都可代发、代招(灰黑勿扰);
2、各位安全老板需要文章推广的请私聊,承接合法合规推广文章发布,可直发、可按产品编辑推广;合作、推广代发、安全项目、岗位代招均可发布;
3、接受脱敏投稿,送一年知识星球及礼包。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:不秃头的安全 ZackSecurity ZackSecurity《Burp 大模型Web 漏洞扫描插件 Zack-AI-Scanne》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论