文章总结： BurpAIFuzzer是一款基于大语言模型的BurpSuite插件，能自动解析HTTP请求上下文并智能生成针对性Fuzz字典。该工具支持多模板管理、与Intruder模块无缝集成，通过AI理解参数语义生成高质量Payload，显著提升渗透测试效率。项目提供完整的使用指南和技术实现细节，需配置API密钥后即可快速部署使用。 综合评分： 82 文章分类： 渗透测试,安全工具,AI安全,WEB安全,红队

Bp插件：AI驱动的智能Fuzz生成器

原创

0x八月 0x八月

0x八月

2026年5月17日 21:18 陕西

在小说阅读器读本章

去阅读

Bp插件：AI驱动的智能Fuzz生成器

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

📖 项目/工具简介

  Burp AI Fuzzer 是一款基于大语言模型驱动的 Burp Suite 插件，能自动解析 HTTP 请求上下文，为指定参数智能生成针对性 Fuzz 字典。

🚀 一句话优势

  让大模型理解请求上下文，自动生成高质量 Fuzz 字典，告别手动构建 Payload 列表。

📋 核心能力速览

| 功能 | 说明 | | — | — | | 智能字典生成 | 解析请求上下文，AI 自动生成针对性的 Fuzz Payload | | 多模板管理 | 内置通用/SQL注入/XSS模板，支持自定义编辑和持久化 | | 一键标记工具 | 请求编辑器中右键快速为参数添加 § 定界符 | | Intruder 深度集成 | 支持将生成字典一键发送至 Intruder 作为 Payload 数据源 | | 配置持久化 | API 配置自动保存至 Burp 全局设置，模板数据独立存储 |

📸 运行截图

| 模块 | 说明 | 建议文件名 | | — | — | — | | 主界面 | AI Fuzzer 标签页配置区域与生成按钮 | | | | | | | Intruder集成 | Payload 类型选择 Extension-generated 并选中 AI Fuzzer | | | 发送操作 | 右键菜单中 Send to AI Fuzzer 选项 | |

✨ 核心亮点

1. 上下文感知的智能字典生成

  传统 Fuzzer 依赖预设规则或静态字典，而 Burp AI Fuzzer 会将完整的 HTTP 请求发送给大模型，让 LLM 理解参数的上下文含义（例如判断参数是用户 ID、搜索关键词还是文件路径），然后生成针对性的 Payload。内置底层提示词约束，确保 AI 仅输出纯净的 Payload 列表，不会混入解释性文字或格式干扰。支持 OpenAI 和 Claude 等主流模型，你只需配置好 API 地址和密钥即可使用。

2. 多模板管理与灵活扩展

  插件预置了 通用、SQL 注入、XSS 三类提示词模板，覆盖最常用场景。同时支持用户新增、编辑和删除自定义模板，所有模板数据持久化在本地 JSON 文件中，方便迁移和备份。这意味着你可以针对特定业务场景（如 JWT 参数、文件上传接口）编写专属 Fuzz 策略，并在团队中共享。

3. 与 Burp Intruder 的无缝集成

  在请求编辑区使用 § 标记要测试的位置后，点击“生成 AI 字典”即可自动填充 Payload 列表。再点击“发送至 Intruder”，插件会同步请求与 Payload 到 Intruder 模块。在 Intruder 的 Payloads 选项卡中，只需将 Payload 类型设置为 Extension-generated，即可将 AI 生成的数据直接应用于爆破任务，无需手动复制粘贴。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | Maven 项目结构 | 使用 Maven 管理 Java 依赖 | 编译打包简单，依赖清晰 | | 提示词模板机制 | 模板数据存储在独立 JSON 文件 | 支持自定义模板，方便迁移和备份 | | Burp 全局设置持久化 | API 配置自动保存至 Burp 设置 | 重启 Burp 后无需重新配置 | | Extender API 集成 | 作为 Intruder 自定义 Payload 数据源 | 原生集成，操作流畅 | | 右键菜单集成 | 通过右键 Send to AI Fuzzer 快速发送请求 | 操作路径短，符合 Burp 用户习惯 |

📖 使用指南

① 准备工作 执行 mvn clean package 编译项目，在 target/ 目录下找到 ai-fuzzer-1.0-SNAPSHOT-jar-with-dependencies.jar。打开 Burp Suite，进入 Extensions → Installed → Add，选择 Java 类型并加载该 JAR 文件。切换到 AI Fuzzer 标签页，填写你的 API Key、Base URL 和模型名称，点击 保存配置 并 测试连接。

② 核心操作 在 Burp 的 Proxy、Repeater 或其他模块中，右键点击请求，选择 Send to AI Fuzzer。在插件编辑框中，使用 § 包裹你想测试的参数值，例如 id=§1001§。选择合适的提示词模板（通用/SQL注入/XSS），点击 生成 AI 字典，Payload 列表将自动填充。然后点击 发送至 Intruder，插件会自动同步请求和 Payload。

③ 结果查看 切换到 Intruder 模块，在 Payloads 选项卡中确认 Payload type 为 Extension-generated，并选中 AI Fuzzer Generated。启动攻击后，Intruder 会使用 AI 生成的字典对标记位置进行自动化 Fuzz 测试。所有攻击结果将按 Burp 原生方式展示，你可以通过长度、状态码等字段快速筛选出异常响应。

📖 项目地址

https://github.com/238469/burp-ai-fuzzer

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

⚠️打广告的勿进，会直接踢掉！！！

| | | | — | — |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0x八月 0x八月《Bp插件：AI驱动的智能Fuzz生成器》