全新开源 Burp AI 扫描插件、支持 17 类 Web 漏洞检测,自带 WAF 绕过,一键自动化挖掘并智能验证漏洞

0x01 工具介绍

全新开源 Zack-AI-Scanner 是一款搭载大语言模型的 Burp Suite 漏洞扫描扩展，全面覆盖 17 类高频 Web 漏洞检测。内置多种 WAF 绕过策略与优质攻击载荷，依托 AI 引擎智能分析流量特征、动态生成测试 Payload，自动完成漏洞挖掘与高置信度核验。兼容市面主流 AI 接口，操作简单易部署，支持 HTML、Markdown 多格式报告导出，高效赋能日常授权渗透与安全检测工作。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能介绍

✨主要功能

AI 智能扫描: 内置 Skills 利用 LLM 自动分析请求并制定测试策略
多漏洞类型支持: 支持 17 种常见 Web 漏洞类型的检测
WAF 绕过能力: 内置 Prompt 多种 WAF 绕过技术，50% 载荷为绕过载荷
实时结果验证: AI 二次验证确保漏洞真实性（置信度阈值 ≥90%）
多格式报告导出: 支持 HTML 和 Markdown 格式的渗透测试报告

日志统计窗口可实时查看扫描信息：

请求与响应详情窗口可以查看实时的扫描流量：

在任务列表窗口可以查看所有扫描任务和状态，扫描结束导出漏洞报告，支持 HTML 和 Markdown 格式：

HTML 和 Markdown 格式报告内容：

0x03 更新介绍

Full Changelog

0x04 使用介绍

📦基础使用流程

配置

点击 “配置” 按钮打开配置中心
选择 AI 服务提供商并输入 API Key
点击 “获取模型” 按钮获取可用模型列表
保存配置后即可开始使用

使用

在 Burp Suite 的 Proxy 或其他模块中选择 HTTP 请求
右键点击，选择 “Zack-AI-Scanner” 菜单
选择扫描模式（AI 智能扫描或特定漏洞类型）
在主面板查看扫描进度和结果
导出漏洞报告

插件使用实例

配置大模型API Key信息：

右击请求包->拓展->Zack-AI-Scanner调用工具，可选择AI智能扫描和单漏洞扫描：

0x05 内部VIP星球介绍-V1.5（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5732+)，包含全网一些付费扫描工具及内部原创的Burp自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Hunter/0zone/Zoomeye/Quake/Fofa高级会员/AI账号/CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️（🤙截止目前已有2500+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/VuWGw

👉点击了解加入–>>内部VIP知识星球福利介绍V1.5版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260424获取下载、回复加群获取交流群

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！