2026-06-14 04:14:25 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： facai是一款基于HTTP流量驱动的资产管理与漏洞扫描工具，采用Python+Flask+MongoDB架构，以JSON为标准格式实现人类与AI可读的数据交互。其核心设计理念强调流量即资产，支持被动爬虫、批量资产发现及无害化漏洞扫描，适用于甲方安全交付和长期监控场景。工具提供代理配置、请求重放等功能，目前处于早期阶段但思路具有创新性。 综合评分： 72 文章分类： 安全工具,WEB安全,渗透测试,安全运营,解决方案

cover_image

安全工具新思路：facai 流量驱动的资产测绘与漏洞扫描

宝十八宝十八

网络安全老宋

2026年6月2日 12:46 山东

在小说阅读器读本章

去阅读

导语： 你好，我是老宋。关注我，安全攻防干货准时送达！

HTTP流量分析 + AI时代新理念，一个工具搞定资产发现、被动爬虫、漏洞扫描。作者说：传统安全已经死了，你只负责点点点。

为什么值得写

说实话，资产管理工具，市面上不缺。OneForAll、ksubdomain、w8fuck 这些用过的工程师一抓一大把。

但 facai 的思路不太一样，作者在 README 里写了一句话把我吸引了：

💡”现在服务两个客户：人类和AI。因为就这两种客户在用，所以我们做软件，要人类和AI都能看得懂，用的了。JSON是个好格式。”

这句话不是营销文案，是这个工具的设计哲学——流量即数据，JSON即标准，AI和人都能消费。

加上”你只负责点点点，其他都交给它”这个 slogan，以及无害化漏洞扫描的思路，我觉得值得写一篇。

这个工具是什么

facai 是一个HTTP流量驱动的综合资产管理和漏洞扫描工具，作者 guimaizi，Python + Flask + MongoDB 构建。

对比传统方案

核心功能解析

资产管理

子域名、站点、HTTP 请求、HTML 大文件、IP/C 段资产、重点资产——全部统一管理，支持批量导入导出。

辅助工具

HTTP 请求重放（支持 JSON 和 Burp 格式）、编码解码、端口扫描。

怎么用

环境要求

| 组件 | 要求 | | — | — | | 操作系统 | Windows | | 数据库 | MongoDB | | 语言 | Python 3+ | | 可选浏览器 | Chrome（动态爬虫） | | 可选代理 | BurpSuite（辅助分析） |

安装部署

SHELL · 安装

# 安装依赖pip&nbsp;install -r requirements.txt# 启动（Windows）start.bat

代理配置流程

SHELL · 代理配置

# 1. 浏览器代理指向 mitmproxy 端口（默认 18081）# 2. BurpSuite 转发指向 mitmproxy 端口（默认 8080 → 18081）# 3. 开始浏览目标站点，流量自动入库

ℹ️配置示例在 config.json 文件中，包含 Burp、Chrome、MITMProxy 等所有端口配置，可按需修改。

实际能干什么

评价感受

老宋

说两句

facai 不是一个功能堆砌的工具，作者有自己想表达的东西——流量即资产，JSON即标准，AI和人都能消费。

这个设计哲学，比大多数开源测绘工具多了一层思考。现阶段它还不够完美，43个Star 说明还早期，但思路值钱。

对渗透测试工程师来说，这个工具适合两类场景：一是甲方交付，要求干净；二是长期监控，要求增量。如果你正好有这类需求，收藏它。

最后说一句——作者说”传统安全已经死了”，这话我不敢全同意，但有一点他说对了：只靠主动发包扫描的年代，确实过去了。

项目地址：https://github.com/guimaizi/facai环境要求：Windows&nbsp;+&nbsp;MongoDB&nbsp;+&nbsp;Python&nbsp;3

往期精彩

杀毒软件可能有漏洞：360和金山毒霸内核驱动高危风险

2026年国内镜像源指南：35个常用源+全场景使用方法

影子资产、ICMP打点、无文件驻留——内网渗透的三个新趋势

🔐 我是网络安全老宋

专注把安全威胁翻译成你听得懂的实操建议。

每周推送漏洞预警、工具测评、攻防笔记。

如果觉得有用，点个在看，转发给你身边的朋友，就是对我莫大的支持。

我们下期见 👋

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全老宋宝十八宝十八《安全工具新思路：facai 流量驱动的资产测绘与漏洞扫描》