[BP插件]Zack-AI-Scanner

一、项目概述

Zack-AI-Scanner 是一款深度融合大语言模型技术的轻量化 Burp Suite 扩展插件，专为 Web 安全检测场景打造。依托 AI 深度学习能力，可自动解析 HTTP 请求特征、智能研判业务风险，自主生成高适配性攻击载荷，并完成漏洞自动化核验。打破传统扫描工具规则化检测的局限，以智能动态检测模式，高效挖掘隐蔽性 Web 安全漏洞，为渗透测试、安全运维、漏洞自查等场景提供高效、精准的自动化检测方案。

二、核心优势与功能

1. AI 智能全域扫描内置专属安全检测 Skills 体系，依托主流大模型强大的语义分析与逻辑推理能力，自动拆解请求结构、识别业务逻辑，定制差异化扫描策略，告别固定规则扫描的漏检问题。

2. 全覆盖漏洞检测全面覆盖 SQL 注入、XSS 跨站、命令注入、文件上传、SSRF、SSTI、越权访问等17 类高频 Web 漏洞，涵盖代码层、权限层、业务层全维度安全风险检测。

3. 强力 WAF 绕过机制集成海量主流 WAF 绕过策略与定制化提示词，半数以上测试载荷经过特殊混淆优化，有效规避防火墙拦截，提升复杂防护环境下的漏洞检出率。

4. AI 双重结果核验采用二次智能校验机制，设置≥90% 漏洞置信度阈值，精准过滤误报、无效告警，保障扫描结果真实可靠，减少人工复核成本。

5. 多格式报告一键导出支持 HTML、Markdown 两种主流格式报告生成，自动整理漏洞详情、风险等级、修复建议，适配渗透测试交付、安全自查存档等多元办公需求。

三、技术架构

项目基于成熟稳定的技术体系开发，兼容性强、部署简洁，适配主流运行环境：

四、丰富 AI 服务商适配

兼容国内外主流大模型接口，一站式接入多类 AI 服务，灵活切换模型，适配不同使用需求与网络环境：OpenAI、Anthropic、Google Gemini、Azure OpenAI、通义千问、文心一言、智谱 GLM、Kimi、DeepSeek、讯飞星火、字节豆包、腾讯混元等全平台模型全覆盖。

五、快速上手指南

1. 项目部署

通过 Maven 命令一键打包：mvn clean package，在 Burp Suite 扩展中心加载编译完成的 JAR 文件，即可完成插件安装。

2. 基础配置

打开插件配置面板，选择对应 AI 服务商，填入专属 API Key，一键拉取可用模型列表，保存配置即可完成初始化。

3. 一键智能扫描

抓取目标 HTTP 请求，右键唤起插件菜单，自由选择全局 AI 智能扫描或单一漏洞定向检测；实时查看扫描进度、漏洞详情与运行日志，检测完成后快速导出标准化安全报告。

六、项目结构设计

代码分层清晰、模块化程度高，便于二次开发与功能迭代：

• 核心入口：统一对接 Burp 扩展底层接口，保障插件稳定运行
• 核心引擎：AI 调度中心 + 配置管理模块，统筹扫描逻辑与数据存储
• 数据模型：标准化封装扫描任务、漏洞数据、AI 配置等核心实体
• 可视化 UI：集成配置、日志、任务管理、报告导出、提示词自定义等全功能面板
• 工具工具类：独立封装报告生成、数据处理等通用能力，降低耦合度

七、应用场景

适用于 Web 渗透测试、企业内部安全自查、开发人员代码安全审计、网络安全学习实训等场景，以 AI 赋能传统安全工具，降低漏洞检测门槛，提升安全测试效率，为 Web 业务筑牢安全防线。

插件使用实例

配置大模型API Key信息：

右击请求包->拓展->Zack-AI-Scanner调用工具，可选择AI智能扫描和单漏洞扫描：

日志统计窗口可实时查看扫描信息：

请求与响应详情窗口可以查看实时的扫描流量：

在任务列表窗口可以查看所有扫描任务和状态，扫描结束导出漏洞报告，支持 HTML 和 Markdown 格式：

HTML 和 Markdown 格式报告内容：

免责声明

本工具仅供教育和授权测试使用！旨在帮助安全研究人员、渗透测试人员和IT专业人员在获得明确授权的情况下进行安全评估和漏洞研究。

无问AI已攻克无数网络安全技术难题，达到人类顶级能力的网安大模型，让你的技术研究效率实现跃升。

无问社区累计解决网安技术问题4,000,000+，140,000+

无问AI远超通用大模型，在网络安全问题理解、代码生成、安全研究分析及其他复杂场景上是你的最佳选择。

链接：https://www.wwlib.cn/index.php/

如果积分不够用可以使用我的积分码，即可领取100积分

兑换链接：https://www.wwlib.cn/index.php/gift

WUWEN_OE9fxEYaPHQqivSWXb