文章总结： BurpAIAgent是一款将大模型深度集成到BurpSuite的插件，支持9种AI后端和53+MCP工具，可实现自动漏洞扫描、流量分析和报告生成。它覆盖62类漏洞检测，提供三重隐私模式保障数据安全，适合安全工程师进行Web渗透测试。用户可通过右键分析或配置Claude实现全自动化扫描。 综合评分： 82 文章分类： 渗透测试,WEB安全,安全工具,红队,AI安全

把AI大脑装进BurpSuite，自动挖洞真的来了！

黑白之道

2026年4月15日 08:46 美国

在小说阅读器读本章

去阅读

还在一条一条翻Burp的HTTP历史？还在等死板的主动扫描出一堆没用的结果？现在有个能彻底改变工作流的Burp插件——Burp AI Agent。

它不是简单的AI对话小工具，而是把大模型深度嵌入Burp，支持本地模型、云端AI，甚至能让Claude这类AI直接接管扫描、分析、挖洞。

你只需要做高价值手动测试，剩下的重复劳动，全部丢给AI。

一、它到底强在哪？硬核能力一览

1. 支持9种AI后端，本地云端随便玩

不管你想用本地大模型，还是直接调用云端API，它全都支持：

• Ollama
• LM Studio
• NVIDIA NIM
• 通用OpenAI兼容接口
• Gemini CLI / Claude CLI / Codex CLI / OpenCode CLI / Copilot CLI

不想泄露数据？直接本地跑Ollama的llama3.1，完全离线可用。

2. 53+ MCP工具：Claude直接“驾驶”Burp

开启MCP服务后，Claude Desktop可以直接调用Burp能力：

• 读取代理历史
• 发送测试请求
• 执行被动/主动扫描
• 自动识别IDOR、注入、越权
• 自动创建漏洞报告

你只需要说一句：“帮我扫一下History里的IDOR漏洞”，它就能全自动跑完一整套流程。

3. 双引擎AI扫描，覆盖62类漏洞

• 被动AI扫描：不发请求，只流量分析
• 主动AI扫描：带200+Payload，自动发包测试

支持注入、身份认证、加密缺陷、文件包含、XSS、SSRF、IDOR等62种漏洞类型。

4. 三重隐私模式，企业合规放心用

• STRICT 严格模式：自动抹除Cookie、Token、敏感数据
• BALANCED 平衡模式：部分脱敏
• OFF 关闭：完整发送数据

所有交互日志以JSONL存储，带SHA256哈希，可审计、可追溯。

二、2步安装，开箱即用

1. 下载或编译Jar

去GitHub Releases下Jar，或源码编译（需要Java 21）：

git clone https://github.com/six2dez/burp-ai-agent.gitcd burp-ai-agentJAVA_HOME=/path/to/jdk-21 ./gradlew clean shadowJar

生成文件在：build/libs/xxx.jar

2. 载入Burp

Extensions → Installed → Add → Java，选中Jar，加载成功后顶部出现 AI Agent 标签。

三、1分钟配置AI后端（推荐Ollama）

1. 装Ollama，跑起来：ollama serve
2. 拉模型：ollama pull llama3.1
3. Burp AI Agent → Settings
4. Backend 选 Ollama
5. URL：http://127.0.0.1:11434
6. Model 填 llama3.1

保存即可开始用。

四、最简单用法：右键一键AI分析

1. Burp代理抓包
2. 进入 Proxy → HTTP history
3. 选中一条请求 → 右键
4. Extensions → Burp AI Agent → Analyze this request

AI会直接给出：

• 漏洞风险点
• 参数可能存在的问题
• 业务逻辑隐患
• 修复建议

不用你再一条条猜漏洞。

五、高阶玩法：让Claude全自动扫Burp

1. 设置里开启 MCP Server
2. 编辑Claude配置文件：

Mac：

~/Library/Application Support/Claude/claude_desktop_config.json

Win：

%APPDATA%\Claude\claude_desktop_config.json

加入配置：

{  "mcpServers": {    "burp-ai-agent": {      "command": "npx",      "args": [        "-y",        "supergateway",        "--sse",        "http://127.0.0.1:9876/sse"      ]    }  }}

重启Claude，直接对它说：“连接Burp，扫描代理历史中的所有漏洞”，它就会自动完成：流量读取→参数分析→主动测试→报告生成。

六、隐藏神器：Burp Scan Skill

项目里自带一个 burp-scan 技能，丢给Claude Code、Gemini CLI：

• 自动理解Burp MCP
• 自动做被动+主动扫描
• 自动生成漏洞单
• 支持IDOR、SQLi、RCE、LFI、XXE等

你只需要写自然语言，AI帮你打完所有Payload。

七、适合谁？注意什么

适合人群

• 天天做Web渗透、漏洞挖掘的安全工程师
• 不想手动看流量的红队
• 想本地离线AI分析的人
• 企业需要合规、脱敏、可审计扫描

注意点

• AI不能100%替代人工，仍需复核
• 云端AI注意数据合规，尽量开STRICT隐私模式
• 初次配置稍微有点麻烦，跟着文档走一遍就会

下载地址

https://github.com/six2dez/burp-ai-agent

文章来源：Hack分享吧

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《把AI大脑装进BurpSuite，自动挖洞真的来了！》