Burp Suite官方MCP Server:让AI Agent自动渗透测试

🔥 Burp Suite 官方 MCP Server:让 AI Agent 自动渗透测试
PortSwigger(Burp Suite 开发商)官方发布了MCP Server,让 AI Agent 可以通过Model Context Protocol (MCP) 直接控制 Burp Suite。
这意味着:AI Agent 可以自动进行渗透测试了。
🎯 什么是 Burp Suite MCP Server?
MCP (Model Context Protocol) 是 Anthropic 提出的协议,让 AI Agent 可以与外部工具交互。Burp Suite MCP Server 就是连接 Burp Suite 和 AI Agent 的桥梁。
工作流程:
AI Agent (Claude/GPT) → MCP 协议 → MCP Server → Burp Suite → 渗透测试
🔧 核心功能
| 功能 | 说明 |
|---|---|
| MCP Server | 默认监听 127.0.0.1:9876 |
| SSE 接口 | HTTP Server-Sent Events 接口 |
| Stdio Proxy | 兼容 Claude Desktop 的 Stdio MCP |
| 自动安装 | 自动配置 Claude Desktop |
| 配置编辑 | 可选启用 Burp 配置文件编辑工具 |
| 自定义工具 | 可扩展新的 MCP 工具 |
🚀 安装步骤
前提条件
- Java:必须安装且在 PATH 中
- jar 命令:必须可执行
- Burp Suite:需要 Burp Suite 应用
安装步骤
# 1. 克隆仓库 git clone https://github.com/PortSwigger/mcp-server.git cd mcp-server # 2. 构建 JAR 文件 ./gradlew embedProxyJar # 3. 在 Burp Suite 中加载扩展 # Extensions → Add → Java → 选择 build/libs/burp-mcp-all.jar # 4. 配置 MCP Server(在 Burp 的 MCP 标签页) # 默认监听 http://127.0.0.1:9876
🔗 连接 Claude Desktop
Claude Desktop 目前只支持 Stdio MCP Servers,所以 Burp MCP Server 提供了代理服务器:
# Claude Desktop 配置文件
# ~/Library/Application Support/Claude/claude_desktop_config.json
{
"mcpServers": {
"burp": {
"command": "java",
"args": [
"-jar",
"/path/to/mcp-proxy-all.jar",
"--sse-url",
"http://127.0.0.1:9876"
]
}
}
}
工作原理:
- Claude Desktop 启动 Stdio Proxy Server
- Proxy Server 连接到 Burp 的 SSE MCP Server
- 所有请求通过 Proxy 转发到 Burp
🛠️ 使用 SSE Server 直接连接
如果你的 MCP Client 支持 SSE,可以直接连接:
# SSE 接口 URL http://127.0.0.1:9876 # 或带 /sse 路径 http://127.0.0.1:9876/sse
🔧 扩展自定义工具
你可以定义新的 MCP 工具:
// 工具定义在 src/main/kotlin/net/portswigger/mcp/tools/Tools.kt
// 创建新的 serializable data class
@Serializable
data class MyCustomTool(
val param1: String,
val param2: Int
)
// 工具名称自动从参数类名派生
// 返回字符串或更丰富的 PromptMessageContents
还可以通过实现 Paginated 接口添加自动分页支持。
💡 应用场景
| 场景 | AI Agent 可以做什么 |
|---|---|
| 自动渗透测试 | AI Agent 自动扫描、分析漏洞 |
| 漏洞分析 | AI Agent 分析 Burp 捕获的数据 |
| 报告生成 | AI Agent 生成渗透测试报告 |
| 配置自动化 | AI Agent 自动配置 Burp |
📝 总结
Burp Suite MCP Server 标志着渗透测试进入 AI Agent 时代:
- PortSwigger 官方发布,可靠性高
- 支持 MCP 协议,兼容 Claude Desktop
- 提供 SSE Server 和 Stdio Proxy
- 可扩展自定义工具
- AI Agent 可以自动进行渗透测试
渗透测试 + AI Agent,网络安全的新时代。
延伸阅读:
一张图生成永不停歇的3D世界:LingBot-World 2.0今日开源,60fps无界交互
世界模型这条赛道,又有人扔了一颗深水炸弹。7月9日,蚂蚁灵波团队(Robbyant)正式开源发布 LingBot-Wor...
Kali Linux 2026.2发布:9款新工具入库,虚拟机开机速度直接干到3倍
又到季度末,Kali Linux 如期交作业了。2026 年 6 月 29 日,Kali 团队正式发布 Kali Lin...
30秒直出+原生4K!Seedance 2.5杀到,国产AI视频模型再次捅破天花板
视频生成模型这条赛道,又被字节跳动往前推了一大步。6月23日,在2026火山引擎 FORCE 原动力大会上,火山引擎总裁...
AI Agent长出手脚:Strands+LeRobot打通机器人,Natural Language直接驱动真机
AI Agent 这两年最大的问题是什么?不是不会聊天,也不是不会写代码,而是它大多数时候还困在屏幕里。你让它规划、搜索...
Hermes Agent v0.17狂飙:AI助手长出新触角,iMessage、Raft、后台子Agent全来了
Hermes Agent v0.17.0 这次更新,官方给了一个很准确的名字:The Reach Release。v0....