s
six2dez/burp-ai-agent
Burp Suite extension that adds built-in MCP tooling, AI-assisted analysis, privacy controls, passive and active scanning and more
aiappsecbugbountyburpburp-extensionsburp-pluginburp-suitehackingkotlinllmmcppentestingsecurityweb-security
KotlinMIT创建于 2026/1/27更新于 今天
README
由 Gemini 翻译整理
Burp AI Agent
连接 Burp Suite 与现代 AI 的桥梁。
Burp AI Agent 是一款将 AI 集成到安全工作流中的 Burp Suite 扩展。你可以使用本地模型或云端供应商,通过 MCP 连接外部 AI Agent,并让被动/主动扫描器发现漏洞,从而让你能够专注于手动测试。
特性亮点
- 7 种 AI 后端支持 — Ollama、LM Studio、通用 OpenAI 兼容接口、Gemini CLI、Claude CLI、Codex CLI、OpenCode CLI。
- 53+ 种 MCP 工具 — 让 Claude Desktop(或任何 MCP 客户端)自主驱动 Burp。
- 62 种漏洞分类 — 涵盖注入、身份验证、加密等领域的被动与主动 AI 扫描。
- 3 种隐私模式 — STRICT(严格)/ BALANCED(平衡)/ OFF(关闭)。在数据离开 Burp 之前自动脱敏。
- 审计日志 — 提供带 SHA-256 完整性哈希的 JSONL 格式日志,以满足合规性需求。
快速开始
1. 安装
从 Releases 下载最新的 JAR 包,或从源码构建(需要 Java 21):
git clone https://github.com/six2dez/burp-ai-agent.git
cd burp-ai-agent
JAVA_HOME=/path/to/jdk-21 ./gradlew clean shadowJar
# 输出: build/libs/Burp-AI-Agent-.jar
2. 加载到 Burp
- 打开 Burp Suite(Community 或 Professional 版本)。
- 进入 Extensions > Installed > Add。
- 选择 Java 作为扩展类型,并选择刚才构建的
.jar文件。
3. Agent 配置文件
扩展首次运行时会自动将自带的配置文件安装到 ~/.burp-ai-agent/AGENTS/ 目录下。
将额外的 *.md 文件放入该目录即可添加自定义配置。
4. 配置后端
打开 AI Agent 选项卡并进入 Settings。选择一个后端:
| 后端 | 类型 | 设置方式 |
|---|---|---|
| Ollama | 本地 HTTP | 安装 Ollama,运行 ollama serve,下载模型(如 ollama pull llama3.1)。 |
| LM Studio | 本地 HTTP | 安装 LM Studio,加载模型,启动服务器。 |
| 通用 OpenAI 兼容 | HTTP | 为任何支持 OpenAI 协议的供应商提供基础 URL 和模型名称。 |
| Gemini CLI | 云端 CLI | 安装 gemini,运行 gemini auth login。 |
| Claude CLI | 云端 CLI | 安装 claude,设置 ANTHROPIC_API_KEY 或运行 claude login。 |
| Codex CLI | 云端 CLI | 安装 codex,设置 OPENAI_API_KEY。 |
| OpenCode CLI | 云端 CLI | 安装 opencode,配置供应商凭据。 |
5. 执行首次分析
- 通过 Burp Proxy 浏览目标网站。
- 在 Proxy > HTTP History 中右键点击任意请求。
- 选择 Extensions > Burp AI Agent > Analyze this request。
- 一个包含 AI 分析结果的聊天会话窗口将会打开。
6. 通过 MCP 连接 Claude Desktop(可选)
在 Settings > MCP Server 中启用 MCP 服务器,并将以下内容添加到你的 Claude Desktop 配置文件中:
macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
Windows: %APPDATA%\Claude\claude_desktop_config.json
{
"mcpServers": {
"burp-ai-agent": {
"command": "npx",
"args": [
"-y",
"supergateway",
"--sse",
"http://127.0.0.1:9876/sse"
]
}
}
}
要求 Node.js 18+。如果启用了 External Access,MCP 客户端必须在每次请求时发送
Authorization: Bearer <TOKEN>头。
文档
完整文档请访问 burp-ai-agent.six2dez.com。
操作指南
设置在内部使用 schema 版本控制 (settings.schema.version),加载时会自动进行增量迁移,确保平滑升级。
系统要求
- Burp Suite Community 或 Professional (2023.12+)
- Java 21(现代 Burp 已内置运行时环境;若从源码构建则需额外安装)
- 至少配置一个 AI 后端(详见上表)
许可证
本项目基于 MIT License 开源。
免责声明
在未经授权的情况下使用 Burp AI Agent 攻击目标是违法的。用户有责任遵守所有适用的法律法规。