大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结： 本文介绍BurpAIAgent插件，该工具将AI深度集成到BurpSuite中，支持9种AI后端和53+MCP工具，可实现全自动漏洞扫描。插件具备双引擎扫描能力，覆盖62类Web漏洞，并提供三重隐私模式确保合规使用。文章详细提供了安装配置教程、基础用法和高阶玩法，适用于安全工程师和红队人员。 综合评分： 85 文章分类： 渗透测试,WEB安全,安全工具,AI安全,红队

---

401 Unauthorized

2026年4月14日 09:28 安徽

在小说阅读器读本章

去阅读

🔴 最高优先级合规声明：安全工具使用合规声明：本文所介绍的Burp AI Agent插件仅用于合法的网络安全测试、漏洞挖掘及学习研究，使用者需确保已获得目标系统的合法授权。严禁用于未授权的非法入侵、数据窃取等违规违法操作，因违规使用产生的一切法律责任、经济损失，均由使用者自行承担。

还在逐条翻 Burp HTTP 历史？还在等传统主动扫描输出一堆无效结果？渗透测试的重复劳动终于能交给 AI 了。今天给大家安利一款颠覆 Web 安全测试工作流的 Burp 插件 ——Burp AI Agent，它不是简单的 AI 对话工具，而是将大模型深度嵌入 Burp，本地 / 云端 AI 双支持，甚至能让 Claude 直接接管扫描、分析、挖洞全流程，你只专注高价值手动测试即可！

–插件已编译，文末领取–

不管是本地部署还是云端调用，它都完美兼容，隐私安全无压力：

• • 本地方案：Ollama、LM Studio、NVIDIA NIM
• • 云端 / 通用接口：OpenAI 兼容接口、Gemini CLI、Claude CLI、Codex CLI、OpenCode CLI、Copilot CLI

担心数据泄露？直接本地跑 Ollama 的 llama3.1 模型，完全离线、零数据外漏，企业内网也能放心用。

开启 MCP 服务后，Claude Desktop 可直接调用 Burp 核心能力：

• • 读取代理历史流量
• • 自动发送安全测试请求
• • 执行被动 / 主动双维度扫描
• • 智能识别 IDOR、注入、越权等高危漏洞
• • 一键生成标准化漏洞报告

只需一句指令：”帮我扫描历史流量中的 IDOR 漏洞”，AI 就能全自动跑完测试闭环。

告别单一扫描逻辑，双重引擎精准捕获风险：

| | | | | — | — | — | | 被动 AI 扫描 | 不发送任何请求，仅深度分析流量 | 静默无感知 | | 主动 AI 扫描 | 搭载 200+ 攻防 Payload，自动发包验证 | 精准捕获风险 |

全面覆盖 SQL 注入、XSS、SSRF、IDOR、文件包含、身份认证缺陷、加密漏洞等 62 类 Web 高危漏洞，漏报率大幅降低。

针对企业数据安全与合规要求，内置三种隐私策略：

| | | | | — | — | — | | STRICT 严格模式 | 自动抹除 Cookie、Token、账号密码等敏感数据 | 企业外网、敏感项目 | | BALANCED 平衡模式 | 关键信息部分脱敏 | 兼顾安全与检测效果 | | OFF 关闭模式 | 完整发送请求数据 | 内网可信环境 |

所有 AI 交互日志以 JSONL 格式存储，附带 SHA256 哈希校验，可审计、可追溯、可留证。

插件基于 Java 开发，需 Java 21 环境，两种获取方式：

直接下载：前往 GitHub Releases 下载编译好的 Jar 包

源码编译：

git clone https://github.com/six2dez/burp-ai-agent.gitcd burp-ai-agentJAVA_HOME=/path/to/jdk-21 ./gradlew clean shadowJar 

编译后文件路径：build/libs/xxx.jar

1. 1. 打开 Burp → 进入 Extensions → Installed
2. 2. 点击 Add → 选择 Java 类型 → 选中编译好的 Jar 包
3. 3. 加载完成后，Burp 顶部会出现 AI Agent 专属标签

本地离线推荐 Ollama 方案，配置超简单：

1. 安装 Ollama，启动服务：ollama serve
2. 拉取大模型：ollama pull llama3.1
3. 进入 Burp AI Agent → Settings
4. Backend 选择 Ollama，URL 填 http://127.0.0.1:11434
5. Model 填写 llama3.1，保存设置即可启用

日常测试最常用的快捷操作，零学习成本：

1. Burp 开启代理，正常抓包
2. 进入 Proxy → HTTP history
3. 选中目标请求 → 右键
4. 点击 Extensions → Burp AI Agent → Analyze this request

AI 会自动输出：漏洞风险等级、参数隐患、业务逻辑漏洞、修复建议，不用再手动逐条排查漏洞点。

想解放双手？直接让 Claude 接管 Burp，在插件设置中开启 MCP Server

编辑 Claude 配置文件：

• • Mac：~/Library/Application Support/Claude/claude_desktop_config.json
• • Windows：%APPDATA%Claudeclaude_desktop_config.json

  加入以下配置：

{  "mcpServers": {    "burp-ai-agent": {      "command": "npx",      "args": [        "-y",        "supergateway",        "--sse",        "http://127.0.0.1:9876/sse"      ]    }  }} 

重启 Claude，发送指令：”连接 Burp，扫描代理历史中的所有漏洞”

AI 自动完成：流量读取→参数分析→主动验证→报告生成，全程无需干预。

插件内置 burp-scan 专属技能，丢给 Claude Code、Gemini CLI 即可：

• • 自动适配 Burp MCP 服务
• • 联动被动 + 主动双扫描
• • 自动生成标准化漏洞清单
• • 支持 IDOR、SQLi、RCE、LFI、XXE 等主流漏洞，自然语言指令即可触发全流程测试。

• • 日常 Web 渗透、漏洞挖掘的安全工程师
• • 厌倦手动分析流量的红队人员
• • 需要本地离线 AI 检测的安全从业者
• • 追求合规脱敏、可审计扫描的企业安全团队

• • AI 检测仅为辅助，不能 100% 替代人工复核，高危漏洞需手动验证
• • 使用云端 AI 时，建议开启 STRICT 隐私模式，规避数据合规风险
• • 初次配置需按教程一步步操作，熟悉后即可快速部署

---

关注本公众号，回复关键词【】，即可免费领取Burp AI Agent插件、配置教程及常用模型清单！后续将持续分享渗透测试、漏洞挖掘干货，欢迎大家收藏+转发。

扫码关注

评论｜点赞｜转发｜

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：401 Unauthorized 《BurpSuite+AI封神！Burp AI Agent 全自动挖洞，渗透测试告别手动内卷》