Burp 大模型Web 漏洞扫描插件 Zack-AI-Scanner

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。知识星球和交流群在最下方。需要cn*d（中高）/c2n*d（高与支撑单位）/安全证书请联系vx咨询

Zack-AI-Scanner 是一款基于大语言模型的自动化 Web 漏洞扫描工具，作为 Burp Suite 扩展运行。通过 AI 深度学习技术自动分析 HTTP 请求特征，智能识别潜在安全漏洞，动态生成针对性测试Payload，并智能验证漏洞真实性。

核心功能

- **AI 智能扫描**：内置 Skills 模块，依托大语言模型（LLM）自动解析用户请求语义，动态生成适配目标场景的测试策略，提升检测精准度与上下文理解能力。  - **多漏洞类型支持**：覆盖 SQL 注入、XSS、CSRF、SSRF、命令注入、路径遍历、模板注入等 17 种主流 Web 漏洞类型，适配 OWASP Top 10 及实际攻防场景。  - **WAF 绕过能力**：集成多策略 Prompt 工程与语义变形技术，50% 的检测载荷经专门设计用于绕过主流 WAF（如 Cloudflare、ModSecurity、Aliyun WAF），兼顾隐蔽性与有效性。  - **实时结果验证**：采用 AI 驱动的二次验证机制，对初步识别的漏洞进行上下文重分析与响应语义判别，仅当置信度 ≥90% 时标记为高可信漏洞，显著降低误报率。  - **多格式报告导出**：一键生成结构化渗透测试报告，支持 HTML（含交互式图表与折叠详情）与 Markdown（兼容 GitHub/GitLab 渲染，语义清晰、便于协作审阅）双AI 智能扫描：内置 Skills 模块，依托大语言模型（LLM）自动解析用户请求，动态生成适配目标特性的测试策略，提升检测精准度与效率。  

技术栈

支持的漏洞类型

支持的 AI 服务提供商

OpenAI (GPT-4, GPT-3.5)Anthropic (Claude)Google GeminiAzure OpenAI通义千问 (阿里云)文心一言 (百度)智谱 AI (GLM)Kimi (月之暗面)DeepSeek讯飞星火字节豆包腾讯混元百川智能MiniMax零一万物阶跃星辰

快速开始

安装

构建项目: mvn clean package在 Burp Suite 的 Extender 标签页加载生成的 JAR 文件

配置

点击 "配置" 按钮打开配置中心选择 AI 服务提供商并输入 API Key点击 "获取模型" 按钮获取可用模型列表保存配置后即可开始使用

使用

在 Burp Suite 的 Proxy 或其他模块中选择 HTTP 请求右键点击，选择 "Zack-AI-Scanner" 菜单选择扫描模式（AI 智能扫描或特定漏洞类型）在主面板查看扫描进度和结果导出漏洞报告

目录结构

src/main/java/com/zackai/├── AISentryExtender.java    # Burp 扩展主入口├── core/                    # 核心功能模块│   ├── AIEngine.java        # AI 扫描引擎│   └── ConfigManager.java   # 配置管理器（单例）├── model/                   # 数据模型│   ├── ScanTask.java        # 扫描任务模型│   ├── VulnResult.java      # 漏洞结果模型│   └── AIProvider.java      # AI 服务提供商模型├── ui/                      # UI 组件│   ├── MainPanel.java       # 主面板│   ├── TaskTablePanel.java  # 任务表格│   ├── TaskDetailPanel.java # 任务详情│   ├── LogPanel.java        # 日志面板│   ├── ConfigDialog.java    # 配置对话框│   ├── ExportDialog.java    # 导出对话框│   ├── EndpointManagerDialog.java  # 端点管理│   ├── PromptPanel.java     # 提示词管理│   └── HelpPanel.java       # 帮助面板└── util/                    # 工具类    └── ReportGenerator.java # 报告生成器

插件使用实例

配置大模型API Key信息：

右击请求包->拓展->Zack-AI-Scanner调用工具，可选择AI智能扫描和单漏洞扫描：

日志统计窗口可实时查看扫描信息：

请求与响应详情窗口可以查看实时的扫描流量：

在任务列表窗口可以查看所有扫描任务和状态，扫描结束导出漏洞报告，支持 HTML 和 Markdown 格式：

HTML 和 Markdown 格式报告内容：

🔄 工具获取

作者：ZackSecurity

项目地址：公众号回复“20260417”即可获取链接

1. 需要考以下各类安全证书的可以联系

①Cn*d，NCC，NVDB🀄️高漏洞证书

②CNNVD中高\漏洞情报\ 一二三级支撑单位均可协助获得

③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可，证书组团报更便宜，可对公，可开专普票。以下是其他全部证书

【腾讯文档】【信息安全 数据安全 IT认证证书】～不秃头的安全Vx:Meditation0723

https://docs.qq.com/doc/DZmtOckpOakJrcFVv?#

想加群下方二维码，群过期或群满加下方vx拉：

2. 需要入星球的可以私聊优惠

1、维护更新src、cnxd、cnnxd专项漏洞知识库，包含原理、挖掘技巧、实战案例2、fafo/零零信安 高级会员key3、最新POC通用报告详情分享思路4、知识星球专属微信“内部圈子交流群”5、攻防演练资源分享（免杀、溯源、钓鱼等）6、新鲜工具分享7、不定期有工作招聘内推（工作/护网内推）8、19个专栏会持续更新~提前续费有优惠，好用不贵很实惠

3、其他合作（合法合规）

1、承接红蓝攻防、渗透、安全意识培训、基线核查及加固、应急响应、重保防守、代码审计等安全项目（须授权），需要攻防团队或岗位招聘都可代发、代招（灰黑勿扰）；

2、各位安全老板需要文章推广的请私聊，承接合法合规推广文章发布，可直发、可按产品编辑推广；合作、推广代发、安全项目、岗位代招均可发布；

3、接受脱敏投稿,送一年知识星球及礼包。