BurpAgent — Burp Suite向けLLM連携エージェント

Security
BurpAgent — Burp Suite向けLLM連携エージェント

BurpAgent — Burp Suite向けLLM連携エージェント

BurpAgentはBurp Suite向けのプラグインで、大規模言語モデル(GPT-4やDeepSeek等)とModel Context Protocol(MCP)を組み合わせて、Burpの解析・発見作業を自動化・高度化します。ローカルツールやデータベース、リモートAgentと連携してコンテキストを拡張し、HTTPトラフィックの解析、ペイロード生成、優先度付け、レポート草案の作成などを支援します。APIキーやモデル設定は拡張内で管理でき、非同期処理とエラーハンドリングを備えた設計です。(約300字)

https://github.com/lcz24/BurpAgent

概要

BurpAgentは、Burp Suiteの拡張としてLLM(大規模言語モデル)とMCP(Model Context Protocol)を導入し、Burp内でより「知的」なセキュリティテストを可能にするプロジェクトです。HTTPリクエスト/レスポンスをモデルに送り、脆弱性のヒント抽出やペイロード生成、解析結果の要約、さらには外部ツールとのチェーン処理を行えます。ローカルツールやリモートAgentを経由して追加コンテキストを取得することで、単体のシグネチャやルールベースの検出を超えた発見を支援します。Javaで実装され、Burpの拡張APIを利用してGUIタブやバックグラウンドタスクを提供します。(約300字)

GitHub

リポジトリの統計情報

  • スター数: 6
  • フォーク数: 0
  • ウォッチャー数: 6
  • コミット数: 6
  • ファイル数: 9
  • メインの言語: Java

主な特徴

  • LLM(GPT-4 / DeepSeek 等)を使ったトラフィック解析と脆弱性発見支援
  • MCPを用いたモデルコンテキスト管理と外部Agent/ツールとの連携
  • Burp拡張としてのGUI統合(設定、ログ、解析結果の表示)
  • 非同期実行、エラーハンドリング、APIキー管理など実用的な運用機能

技術的なポイント

BurpAgentはJavaで実装されたBurp Suiteの拡張で、Burpの拡張APIを通してカスタムタブやインターセプトフローにフックします。コア設計は「モデル連携レイヤ」と「Burpインテグレーション層」に分かれており、モデル連携ではHTTPベースのエンドポイント(OpenAIや独自のDeepSeek)へプロンプトとコンテキストを送信し、応答を解析して構造化情報を返します。MCP(Model Context Protocol)を採用することで、会話的なコンテキスト管理や複数エージェント間の情報受け渡しが整理され、トークン管理や履歴スライシングが容易になります。

拡張は非同期ワーカースレッドでモデル呼び出しを行い、BurpのUIをブロッキングしません。レート制限やエラー時リトライ、タイムアウト管理を実装することで実運用に耐える設計です。プラグイン設定画面からAPIキーやモデル選択、外部Agentの接続先を設定可能で、入力データはローカルでの前処理(マスク、フィルタリング)を行えます。生成されたペイロードや解析ノートはBurpのセッションに紐付けて保存・再利用が可能で、既存のスキャナ結果との連携や、テストフローの自動化(ツールチェイン実行)にも対応します。

セキュリティ面では、外部APIに送るデータの取り扱いに注意が払われており、秘匿情報のフィルタリングや送信前の確認、ローカルプロキシ経由での検査といった実装上の配慮が説明されています。GradleベースのビルドでJar化してBurpのExtensionsに読み込ませる方式のため、拡張の更新やカスタマイズも行いやすくなっています。(約700字)

プロジェクトの構成

主要なファイルとディレクトリ:

  • LICENSE: file
  • README.md: file
  • build.gradle: file
  • build: dir
  • gradle: dir

…他 4 ファイル

(注)ソースはJavaで、Gradleビルドシステムを使用。ビルド生成物はbuildディレクトリに格納されています。

利用シーンと運用上の注意

  • 静的ルールだけで見逃しがちな微妙なHTTPレスポンス差異やビジネスロジックのズレを、モデルの自然言語解析で検出する補助に有効です。
  • レポート草案の自動生成や脆弱性の説明文作成で作業効率を向上できます。
  • 外部LLMに送るデータは組織ポリシーに従って取り扱い、機密情報はマスクまたはローカルモデルを利用してください。
  • モデル応答の誤検知(偽陽性/偽陰性)に注意し、人間による検証プロセスを残す設計が推奨されます。

まとめ

Burp内でLLMと外部Agentを連携させ、解析と自動化を強化する実用的な拡張です。(約50字)

リポジトリ情報:

READMEの抜粋:

BurpAgent

BurpAgent 将大语言模型 (LLM) 和 MCP (Model Context Protocol) 引入 Burp Suite,使其能够连接本地工具、数据库或远程 Agent,辅助安全测试。

Status Java BurpSuite image

功能概覧

1. 流量分析

  • 利用 GPT-4/DeepSeek 等模型对 HTTP 请求/响应进行分…