文章总结: Firefox-Reverse是一款基于Firefox浏览器的AI自动化逆向算法工具,通过内置AIAgent在浏览器侧边栏自动抓包、分析JS代码、补环境并生成可独立运行的Node.js脚本,用于还原网站加密参数如签名或令牌。工具利用SpiderMonkey引擎级观测能力对抗反调试,支持DeepSeek、OpenAI等多种AI模型,提供全自动和AI辅助两种模式,显著简化传统JS逆向的复杂流程。 综合评分: 84 文章分类: 逆向分析,AI安全,红队,渗透测试
Firefox‑Reverse:网页版AI自动化逆向算法工具
原创
网安工具库 网安工具库
网安工具库
2026年7月1日 15:40 湖南
在小说阅读器读本章
去阅读
更多干货 点击蓝字 关注我们
注:本文仅供学习,坚决反对一切危害网络安全的行为。造成法律后果自行负责!
往期回顾
·K8sPenTool:一款面向Kubernetes集群的综合渗透测试评估平台
·CTF²: 推荐一个比较全面的CTF靶场
·Bug Hunter:一个代码安全审计的skills
·NextWQ:一款QQ小程序安全测试分析工具
·MPScan:微信小程序自动化敏感信息审计工具
·cloudTools:一款集成多平台的OSS接管和管理工具
背景分析
很多网站发请求时会带一个加密参数——签名 sign、令牌 token、风控指纹等。想在浏览器之外(你自己的 Node / Python 脚本里)复现这个请求,就得搞清楚这个参数是怎么算出来的。这就是 JS 逆向,而它通常很难:逻辑被混淆、塞进 JSVMP(JS 虚拟机保护)、或编译成 WASM,还深度依赖一堆浏览器环境指纹。传统做法要在 DevTools 里手动下断点、补环境、反复试值,耗时且容易兜圈。
Firefox‑Reverse 把这套活儿交给一个内置的 AI Agent。 它住在浏览器侧边栏里,能像一名专业逆向工程师那样自己抓包、读代码、在引擎 C++ 内核层打点(页面察觉不到)、补环境、写脚本、实打接口验证——目标是把一个加密参数还原成你能在 Node.js 里独立跑出来的纯算法。
与「AI + 普通浏览器自动化」最大的不同:它的关键观测工具(签名器入参追踪 / JSVMP 逐指令 trace / WASM import 边界 / 引擎级分支差分)都做在 SpiderMonkey/Gecko 的 C++ 引擎里——这些是页面 JS 反射不到、检测不出的「上帝视角」,对抗反调试 / 反 hook 的强站点尤其关键。
工具获取
GitHub地址:
https://github.com/WhiteNightShadow/firefox-reverse/releases
根据系统选择相应的版本下载即可。
点击.exe文件启动工具即可。
若 SmartScreen 拦截 → 「更多信息」→「仍要运行」
功能介绍
启动后会看到主页:
点击左上角的AI侧边栏,然后点右侧边栏的 Firefox‑Reverse 工具图标(机器人/逆向图标),打开 Agent 面板:
然后点面板右上角 ⚙️ 设置 → 选一个模型供应商,填上你的 API Key:
模型支持:
支持 DeepSeek、智谱 GLM、Kimi(Moonshot)、MiniMax、通义千问(Qwen)、Claude、OpenAI,或任何 OpenAI / Anthropic 协议兼容的自定义端点(填 baseUrl + token + 模型名即可)。
然后可用选择模式,分为“全自动”和“AI辅助”两个模式,全自动模式可以给它目标接口/参数,它一条龙自己搞定;而ai辅助它先出方案、每做完一个阶段就停下、给你方向选项,你来拍板、逐步推进。
然后把目标告诉模型按下面这个格式把任务说清楚(信息越具体,AI 越少走弯路):
【站点URL】https://example.com/list # 能看到目标请求的页面【接口URL】GET https://example.com/api/v1/list?page=1 # 你最终想复现的请求【目标参数】请求头里的 X-Sign(签名)。若还有其他动态参数(时间戳 / 设备指纹 / token 等)一并列出【输出目标】① 黑盒可用版:用 Node.js 还原参数生成算法,脱离浏览器独立把接口请求成功 ② 白盒纯算版:进一步把它还原成不依赖原始混淆代码的纯 JS 实现(可选)
然后看它自己抓包、定位、补环境、实打验证。产物(脚本、还原代码、笔记)都会落到你为这个会话指定的工作目录里。
这里使用Bugku上面题目game1网站的示例:
这里我选择的全自动模式,将需求编辑好后发送给大模型,大模型会根据要求自动分析并给出结果:
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网安工具库 网安工具库 网安工具库《Firefox‑Reverse:网页版AI自动化逆向算法工具》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论