文章总结: Zack-AI-Scanner是一款基于大语言模型的BurpSuite扩展,用于自动化Web漏洞扫描。它集成16家主流AI服务商,通过语义理解自动分析HTTP请求、生成测试Payload并验证漏洞,支持17种漏洞类型和WAF绕过。该工具旨在提升渗透测试、SRC挖掘和攻防演练中的效率与覆盖面。 综合评分: 80 文章分类: 渗透测试,安全工具,AI安全,WEB安全,红队
【工具推荐】Zack-AI-Scanner
原创
CatalyzeSec CatalyzeSec
CatalyzeSec
2026年7月10日 18:26 湖北
在小说阅读器读本章
去阅读
工具介绍
Zack-AI-Scanner 是一款基于大语言模型的自动化 Web 漏洞扫描工具,作为 Burp Suite 扩展运行。随着大模型技术的快速发展,AI 驱动的安全测试正在改变传统渗透测试的工作流——从手工构造 Payload、逐条分析响应,转向由模型自主理解请求语义、动态生成测试策略并验证结果。Zack-AI-Scanner 正是在这一思路下诞生的产物。 它通过集成 OpenAI、Claude、Gemini、通义千问、DeepSeek 等 16 家主流大模型服务商,将 AI 的语义理解能力嫁接到 Burp Suite 的代理流量上。用户只需在 Burp 中选择目标请求,插件即可自动分析 HTTP 特征,识别潜在漏洞类型,生成针对性的测试 Payload,并通过 AI 二次验证确保漏洞真实性。支持 17 种常见 Web 漏洞类型,内置 WAF 绕过策略,适合在攻防演练、SRC 挖掘与授权渗透测试中快速梳理 Web 攻击面。
安装使用
插件基于 Java 17 编译,使用前请确认 Burp Suite 自带 JRE 版本不低于 17。安装流程为标准的 Burp 扩展加载:
功能及特点相较于传统的手工测试或规则型扫描器,本插件主打「AI 驱动 + 语义理解」路线,利用大语言模型替代固定的 PoC 模板,显著提升了对非常规注入点和业务逻辑漏洞的覆盖能力。
项目地址:https://github.com/ZackSecurity/Zack-AI-Scanner
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:CatalyzeSec CatalyzeSec CatalyzeSec《【工具推荐】Zack-AI-Scanner》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论