[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"similar-aress31--burpgpt":3,"tool-aress31--burpgpt":62},[4,18,26,36,46,54],{"id":5,"name":6,"github_repo":7,"description_zh":8,"stars":9,"difficulty_score":10,"last_commit_at":11,"category_tags":12,"status":17},4358,"openclaw","openclaw\u002Fopenclaw","OpenClaw 是一款专为个人打造的本地化 AI 助手,旨在让你在自己的设备上拥有完全可控的智能伙伴。它打破了传统 AI 助手局限于特定网页或应用的束缚,能够直接接入你日常使用的各类通讯渠道,包括微信、WhatsApp、Telegram、Discord、iMessage 等数十种平台。无论你在哪个聊天软件中发送消息,OpenClaw 都能即时响应,甚至支持在 macOS、iOS 和 Android 设备上进行语音交互,并提供实时的画布渲染功能供你操控。\n\n这款工具主要解决了用户对数据隐私、响应速度以及“始终在线”体验的需求。通过将 AI 部署在本地,用户无需依赖云端服务即可享受快速、私密的智能辅助,真正实现了“你的数据,你做主”。其独特的技术亮点在于强大的网关架构,将控制平面与核心助手分离,确保跨平台通信的流畅性与扩展性。\n\nOpenClaw 非常适合希望构建个性化工作流的技术爱好者、开发者,以及注重隐私保护且不愿被单一生态绑定的普通用户。只要具备基础的终端操作能力(支持 macOS、Linux 及 Windows WSL2),即可通过简单的命令行引导完成部署。如果你渴望拥有一个懂你",349277,3,"2026-04-06T06:32:30",[13,14,15,16],"Agent","开发框架","图像","数据工具","ready",{"id":19,"name":20,"github_repo":21,"description_zh":22,"stars":23,"difficulty_score":10,"last_commit_at":24,"category_tags":25,"status":17},3808,"stable-diffusion-webui","AUTOMATIC1111\u002Fstable-diffusion-webui","stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面,旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点,将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。\n\n无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师,还是想要深入探索模型潜力的开发者与研究人员,都能从中获益。其核心亮点在于极高的功能丰富度:不仅支持文生图、图生图、局部重绘(Inpainting)和外绘(Outpainting)等基础模式,还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外,它内置了 GFPGAN 和 CodeFormer 等人脸修复工具,支持多种神经网络放大算法,并允许用户通过插件系统无限扩展能力。即使是显存有限的设备,stable-diffusion-webui 也提供了相应的优化选项,让高质量的 AI 艺术创作变得触手可及。",162132,"2026-04-05T11:01:52",[14,15,13],{"id":27,"name":28,"github_repo":29,"description_zh":30,"stars":31,"difficulty_score":32,"last_commit_at":33,"category_tags":34,"status":17},1381,"everything-claude-code","affaan-m\u002Feverything-claude-code","everything-claude-code 是一套专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)打造的高性能优化系统。它不仅仅是一组配置文件,而是一个经过长期实战打磨的完整框架,旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。\n\n通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能,everything-claude-code 能显著提升 AI 在复杂任务中的表现,帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略,使得模型响应更快、成本更低,同时有效防御潜在的攻击向量。\n\n这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库,还是需要 AI 协助进行安全审计与自动化测试,everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目,它融合了多语言支持与丰富的实战钩子(hooks),让 AI 真正成长为懂上",160015,2,"2026-04-18T11:30:52",[14,13,35],"语言模型",{"id":37,"name":38,"github_repo":39,"description_zh":40,"stars":41,"difficulty_score":42,"last_commit_at":43,"category_tags":44,"status":17},8272,"opencode","anomalyco\u002Fopencode","OpenCode 是一款开源的 AI 编程助手(Coding Agent),旨在像一位智能搭档一样融入您的开发流程。它不仅仅是一个代码补全插件,而是一个能够理解项目上下文、自主规划任务并执行复杂编码操作的智能体。无论是生成全新功能、重构现有代码,还是排查难以定位的 Bug,OpenCode 都能通过自然语言交互高效完成,显著减少开发者在重复性劳动和上下文切换上的时间消耗。\n\n这款工具专为软件开发者、工程师及技术研究人员设计,特别适合希望利用大模型能力来提升编码效率、加速原型开发或处理遗留代码维护的专业人群。其核心亮点在于完全开源的架构,这意味着用户可以审查代码逻辑、自定义行为策略,甚至私有化部署以保障数据安全,彻底打破了传统闭源 AI 助手的“黑盒”限制。\n\n在技术体验上,OpenCode 提供了灵活的终端界面(Terminal UI)和正在测试中的桌面应用程序,支持 macOS、Windows 及 Linux 全平台。它兼容多种包管理工具,安装便捷,并能无缝集成到现有的开发环境中。无论您是追求极致控制权的资深极客,还是渴望提升产出的独立开发者,OpenCode 都提供了一个透明、可信",144296,1,"2026-04-16T14:50:03",[13,45],"插件",{"id":47,"name":48,"github_repo":49,"description_zh":50,"stars":51,"difficulty_score":32,"last_commit_at":52,"category_tags":53,"status":17},2271,"ComfyUI","Comfy-Org\u002FComfyUI","ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎,专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式,采用直观的节点式流程图界面,让用户通过连接不同的功能模块即可构建个性化的生成管线。\n\n这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景,也能自由组合模型、调整参数并实时预览效果,轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性,不仅支持 Windows、macOS 和 Linux 全平台,还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构,并率先支持 SDXL、Flux、SD3 等前沿模型。\n\n无论是希望深入探索算法潜力的研究人员和开发者,还是追求极致创作自由度的设计师与资深 AI 绘画爱好者,ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能,使其成为当前最灵活、生态最丰富的开源扩散模型工具之一,帮助用户将创意高效转化为现实。",109154,"2026-04-18T11:18:24",[14,15,13],{"id":55,"name":56,"github_repo":57,"description_zh":58,"stars":59,"difficulty_score":32,"last_commit_at":60,"category_tags":61,"status":17},6121,"gemini-cli","google-gemini\u002Fgemini-cli","gemini-cli 是一款由谷歌推出的开源 AI 命令行工具,它将强大的 Gemini 大模型能力直接集成到用户的终端环境中。对于习惯在命令行工作的开发者而言,它提供了一条从输入提示词到获取模型响应的最短路径,无需切换窗口即可享受智能辅助。\n\n这款工具主要解决了开发过程中频繁上下文切换的痛点,让用户能在熟悉的终端界面内直接完成代码理解、生成、调试以及自动化运维任务。无论是查询大型代码库、根据草图生成应用,还是执行复杂的 Git 操作,gemini-cli 都能通过自然语言指令高效处理。\n\n它特别适合广大软件工程师、DevOps 人员及技术研究人员使用。其核心亮点包括支持高达 100 万 token 的超长上下文窗口,具备出色的逻辑推理能力;内置 Google 搜索、文件操作及 Shell 命令执行等实用工具;更独特的是,它支持 MCP(模型上下文协议),允许用户灵活扩展自定义集成,连接如图像生成等外部能力。此外,个人谷歌账号即可享受免费的额度支持,且项目基于 Apache 2.0 协议完全开源,是提升终端工作效率的理想助手。",100752,"2026-04-10T01:20:03",[45,13,15,14],{"id":63,"github_repo":64,"name":65,"description_en":66,"description_zh":67,"ai_summary_zh":68,"readme_en":69,"readme_zh":70,"quickstart_zh":71,"use_case_zh":72,"hero_image_url":73,"owner_login":74,"owner_name":75,"owner_avatar_url":76,"owner_bio":77,"owner_company":78,"owner_location":79,"owner_email":80,"owner_twitter":80,"owner_website":81,"owner_url":82,"languages":83,"stars":92,"forks":93,"last_commit_at":94,"license":95,"difficulty_score":96,"env_os":97,"env_gpu":98,"env_ram":98,"env_deps":99,"category_tags":105,"github_topics":106,"view_count":32,"oss_zip_url":80,"oss_zip_packed_at":80,"status":17,"created_at":121,"updated_at":122,"faqs":123,"releases":124},9335,"aress31\u002Fburpgpt","burpgpt","A Burp Suite extension that integrates OpenAI's GPT to perform an additional passive scan for discovering highly bespoke vulnerabilities and enables running traffic-based analysis of any type.","burpgpt 是一款专为网络安全专家设计的 Burp Suite 扩展插件,它巧妙地将 OpenAI 的 GPT 大模型能力融入传统的被动扫描流程中。传统扫描器往往难以发现高度定制化或逻辑复杂的漏洞,而 burpgpt 通过将 HTTP 流量发送给用户指定的 AI 模型进行深度语义分析,有效弥补了这一短板,帮助研究人员捕捉那些容易被忽略的安全隐患。\n\n该工具的核心价值在于其高度的可定制性。用户可以编写专属的提示词(Prompts),指导 AI 针对特定业务场景对流量进行精细化分析,并自动生成包含潜在风险摘要的安全报告。这不仅扩大了攻击面的覆盖范围,还大幅提升了安全评估的效率。此外,burpgpt 支持多种 OpenAI 模型选择及 Token 用量控制,让分析过程更加灵活可控。\n\n需要注意的是,由于数据需发送至 OpenAI 进行处理,处理敏感信息时请务必关注隐私合规问题;同时,AI 生成的报告仍需要专业人员进行人工复核以排除误报。目前社区版已停止维护,建议有持续更新需求的专业人士关注其 Pro 版本。无论是渗透测试工程师还是应用安全研究员,burpgpt 都能成为你挖掘深层漏洞的得","burpgpt 是一款专为网络安全专家设计的 Burp Suite 扩展插件,它巧妙地将 OpenAI 的 GPT 大模型能力融入传统的被动扫描流程中。传统扫描器往往难以发现高度定制化或逻辑复杂的漏洞,而 burpgpt 通过将 HTTP 流量发送给用户指定的 AI 模型进行深度语义分析,有效弥补了这一短板,帮助研究人员捕捉那些容易被忽略的安全隐患。\n\n该工具的核心价值在于其高度的可定制性。用户可以编写专属的提示词(Prompts),指导 AI 针对特定业务场景对流量进行精细化分析,并自动生成包含潜在风险摘要的安全报告。这不仅扩大了攻击面的覆盖范围,还大幅提升了安全评估的效率。此外,burpgpt 支持多种 OpenAI 模型选择及 Token 用量控制,让分析过程更加灵活可控。\n\n需要注意的是,由于数据需发送至 OpenAI 进行处理,处理敏感信息时请务必关注隐私合规问题;同时,AI 生成的报告仍需要专业人员进行人工复核以排除误报。目前社区版已停止维护,建议有持续更新需求的专业人士关注其 Pro 版本。无论是渗透测试工程师还是应用安全研究员,burpgpt 都能成为你挖掘深层漏洞的得力助手。","> [!IMPORTANT]\n> Announcing the launch of [BurpGPT Pro](https:\u002F\u002Fburpgpt.app\u002F), the edition specifically tailored to meet the needs of professionals and cyber boutiques. Discover a host of powerful features and a user-friendly interface that enhances your capabilities and ensures an optimal user experience. To access these benefits, visit our [website](https:\u002F\u002Fburpgpt.app\u002F) and read the [documentation](https:\u002F\u002Fdocs.burpgpt.app\u002F) for more information.\n\n> [!WARNING]\n> Please note that the Community edition is no longer maintained or functional. To continue receiving updates, new features, bug fixes, and improvements, consider upgrading to the [Pro edition](https:\u002F\u002Fburpgpt.app\u002F). **It is no longer useful to log `Issues` for the Community edition.**\n\n# burpgpt\n\n[![Java CI with Gradle](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Factions\u002Fworkflows\u002Fgradle-build.yml\u002Fbadge.svg)](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Factions\u002Fworkflows\u002Fgradle-build.yml)\n\n`burpgpt` leverages the power of `AI` to detect security vulnerabilities that traditional scanners might miss. It sends web traffic to an `OpenAI` `model` specified by the user, enabling sophisticated analysis within the passive scanner. This extension offers customisable `prompts` that enable tailored web traffic analysis to meet the specific needs of each user. Check out the [Example Use Cases](#example-use-cases) section for inspiration.\n\nThe extension generates an automated security report that summarises potential security issues based on the user's `prompt` and real-time data from `Burp`-issued requests. By leveraging `AI` and natural language processing, the extension streamlines the security assessment process and provides security professionals with a higher-level overview of the scanned application or endpoint. This enables them to more easily identify potential security issues and prioritise their analysis, while also covering a larger potential attack surface.\n\n> [!WARNING]\n> Data traffic is sent to `OpenAI` for analysis. If you have concerns about this or are using the extension for security-critical applications, it is important to carefully consider this and review [OpenAI's Privacy Policy](https:\u002F\u002Fopenai.com\u002Fpolicies\u002Fprivacy-policy) for further information.\n\n> [!WARNING]\n> While the report is automated, it still requires triaging and post-processing by security professionals, as it may contain false positives.\n\n> [!WARNING]\n> The effectiveness of this extension is heavily reliant on the [quality and precision of the prompts](#prompt-configuration) created by the user for the selected `GPT` model. This targeted approach will help ensure the `GPT model` generates accurate and valuable results for your security analysis.\n\n## Features\n\n- Adds a `passive scan check`, allowing users to submit `HTTP` data to an `OpenAI`-controlled `GPT model` for analysis through a `placeholder` system.\n- Leverages the power of `OpenAI's GPT models` to conduct comprehensive traffic analysis, enabling detection of various issues beyond just security vulnerabilities in scanned applications.\n- Enables granular control over the number of `GPT tokens` used in the analysis by allowing for precise adjustments of the `maximum prompt length`.\n- Offers users multiple `OpenAI models` to choose from, allowing them to select the one that best suits their needs.\n- Empowers users to customise `prompts` and unleash limitless possibilities for interacting with `OpenAI models`. Browse through the [Example Use Cases](#example-use-cases) for inspiration.\n- Integrates with `Burp Suite`, providing all native features for pre- and post-processing, including displaying analysis results directly within the Burp UI for efficient analysis.\n- Provides troubleshooting functionality via the native `Burp Event Log`, enabling users to quickly resolve communication issues with the `OpenAI API`.\n\n## Requirements\n\n### 1. System requirements\n\n- Operating System: Compatible with `Linux`, `macOS`, and `Windows` operating systems.\n- Java Development Kit (JDK): `Version 11` or later.\n- Burp Suite Professional or Community Edition: `Version 2023.3.2` or later.\n\n > [!IMPORTANT]\n > Please note that using any version lower than `2023.3.2` may result in a [java.lang.NoSuchMethodError](https:\u002F\u002Fforum.portswigger.net\u002Fthread\u002Fmontoya-api-nosuchmethoderror-275048be). It is crucial to use the specified version or a more recent one to avoid this issue.\n\n### 2. Build tool\n\n- Gradle: `Version 6.9` or later (recommended). The [build.gradle](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Fblob\u002Fmain\u002Flib\u002Fbuild.gradle) file is provided in the project repository.\n\n### 3. Environment variables\n\n- Set up the `JAVA_HOME` environment variable to point to the `JDK` installation directory.\n\nPlease ensure that all system requirements, including a compatible version of `Burp Suite`, are met before building and running the project. Note that the project's external dependencies will be automatically managed and installed by `Gradle` during the build process. Adhering to the requirements will help avoid potential issues and reduce the need for opening new issues in the project repository.\n\n## Installation\n\n### 1. Compilation\n\n1. Ensure you have [Gradle](https:\u002F\u002Fgradle.org\u002F) installed and configured.\n\n2. Download the `burpgpt` repository:\n\n ```bash\n git clone https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\n cd .\\burpgpt\\\n ```\n\n3. Build the standalone `jar`:\n\n ```bash\n .\u002Fgradlew shadowJar\n ```\n\n### 2. Loading the Extension Into `Burp Suite`\n\nTo install `burpgpt` in `Burp Suite`, first go to the `Extensions` tab and click on the `Add` button. Then, select the `burpgpt-all` jar file located in the `.\\lib\\build\\libs` folder to load the extension.\n\n## Usage\n\nTo start using burpgpt, users need to complete the following steps in the Settings panel, which can be accessed from the Burp Suite menu bar:\n\n1. Enter a valid `OpenAI API key`.\n2. Select a `model`.\n3. Define the `max prompt size`. This field controls the maximum `prompt` length sent to `OpenAI` to avoid exceeding the `maxTokens` of `GPT` models (typically around `2048` for `GPT-3`).\n4. Adjust or create custom prompts according to your requirements.\n\n\u003Cimg src=\"https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Faress31_burpgpt_readme_e3458e87f516.png\" alt=\"burpgpt UI\" width=\"75%\" height=\"75%\">\n\nOnce configured as outlined above, the `Burp passive scanner` sends each request to the chosen `OpenAI model` via the `OpenAI API` for analysis, producing `Informational`-level severity findings based on the results.\n\n\u003Cimg src=\"https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Faress31_burpgpt_readme_805739498a06.png\" alt=\"burpgpt finding\" width=\"75%\" height=\"75%\">\n\n### Prompt Configuration\n\n`burpgpt` enables users to tailor the `prompt` for traffic analysis using a `placeholder` system. To include relevant information, we recommend using these `placeholders`, which the extension handles directly, allowing dynamic insertion of specific values into the `prompt`:\n\n| Placeholder | Description |\n| ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| `{REQUEST}` | The scanned request. |\n| `{URL}` | The URL of the scanned request. |\n| `{METHOD}` | The HTTP request method used in the scanned request. |\n| `{REQUEST_HEADERS}` | The headers of the scanned request. |\n| `{REQUEST_BODY}` | The body of the scanned request. |\n| `{RESPONSE}` | The scanned response. |\n| `{RESPONSE_HEADERS}` | The headers of the scanned response. |\n| `{RESPONSE_BODY}` | The body of the scanned response. |\n| `{IS_TRUNCATED_PROMPT}` | A `boolean` value that is programmatically set to `true` or `false` to indicate whether the `prompt` was truncated to the `Maximum Prompt Size` defined in the `Settings`. |\n\nThese `placeholders` can be used in the custom `prompt` to dynamically generate a request\u002Fresponse analysis `prompt` that is specific to the scanned request.\n\n> [!NOTE] > `Burp Suite` provides the capability to support arbitrary `placeholders` through the use of [Session handling rules](https:\u002F\u002Fportswigger.net\u002Fsupport\u002Fconfiguring-burp-suites-session-handling-rules) or extensions such as [Custom Parameter Handler](https:\u002F\u002Fportswigger.net\u002Fbappstore\u002Fa0c0cd68ab7c4928b3bf0a9ad48ec8c7), allowing for even greater customisation of the `prompts`.\n\n### Example Use Cases\n\nThe following list of example use cases showcases the bespoke and highly customisable nature of `burpgpt`, which enables users to tailor their web traffic analysis to meet their specific needs.\n\n- Identifying potential vulnerabilities in web applications that use a crypto library affected by a specific CVE:\n\n ```\n Analyse the request and response data for potential security vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER}:\n\n Web Application URL: {URL}\n Crypto Library Name: {CRYPTO_LIBRARY_NAME}\n CVE Number: CVE-{CVE_NUMBER}\n Request Headers: {REQUEST_HEADERS}\n Response Headers: {RESPONSE_HEADERS}\n Request Body: {REQUEST_BODY}\n Response Body: {RESPONSE_BODY}\n\n Identify any potential vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER} in the request and response data and report them.\n ```\n\n- Scanning for vulnerabilities in web applications that use biometric authentication by analysing request and response data related to the authentication process:\n\n ```\n Analyse the request and response data for potential security vulnerabilities related to the biometric authentication process:\n\n Web Application URL: {URL}\n Biometric Authentication Request Headers: {REQUEST_HEADERS}\n Biometric Authentication Response Headers: {RESPONSE_HEADERS}\n Biometric Authentication Request Body: {REQUEST_BODY}\n Biometric Authentication Response Body: {RESPONSE_BODY}\n\n Identify any potential vulnerabilities related to the biometric authentication process in the request and response data and report them.\n ```\n\n- Analysing the request and response data exchanged between serverless functions for potential security vulnerabilities:\n\n ```\n Analyse the request and response data exchanged between serverless functions for potential security vulnerabilities:\n\n Serverless Function A URL: {URL}\n Serverless Function B URL: {URL}\n Serverless Function A Request Headers: {REQUEST_HEADERS}\n Serverless Function B Response Headers: {RESPONSE_HEADERS}\n Serverless Function A Request Body: {REQUEST_BODY}\n Serverless Function B Response Body: {RESPONSE_BODY}\n\n Identify any potential vulnerabilities in the data exchanged between the two serverless functions and report them.\n ```\n\n- Analysing the request and response data for potential security vulnerabilities specific to a Single-Page Application (SPA) framework:\n\n ```\n Analyse the request and response data for potential security vulnerabilities specific to the {SPA_FRAMEWORK_NAME} SPA framework:\n\n Web Application URL: {URL}\n SPA Framework Name: {SPA_FRAMEWORK_NAME}\n Request Headers: {REQUEST_HEADERS}\n Response Headers: {RESPONSE_HEADERS}\n Request Body: {REQUEST_BODY}\n Response Body: {RESPONSE_BODY}\n\n Identify any potential vulnerabilities related to the {SPA_FRAMEWORK_NAME} SPA framework in the request and response data and report them.\n ```\n\n## Roadmap\n\n- [x] Add a new field to the `Settings` panel that allows users to set the `maxTokens` limit for requests, thereby limiting the request size. \u003C- Exclusive to the [Pro edition of BurpGPT](https:\u002F\u002Fburpgpt.app).\n- [x] Add support for connecting to a local instance of the `AI model`, allowing users to run and interact with the model on their local machines, potentially improving response times and **data privacy**. \u003C- Exclusive to the [Pro edition of BurpGPT](https:\u002F\u002Fburpgpt.app).\n- [ ] Retrieve the precise `maxTokens` value for each `model` to transmit the maximum allowable data and obtain the most extensive `GPT` response possible.\n- [x] Implement persistent configuration storage to preserve settings across `Burp Suite` restarts. \u003C- Exclusive to the [Pro edition of BurpGPT](https:\u002F\u002Fburpgpt.app).\n- [x] Enhance the code for accurate parsing of `GPT` responses into the `Vulnerability model` for improved reporting. \u003C- Exclusive to the [Pro edition of BurpGPT](https:\u002F\u002Fburpgpt.app).\n\n## Project Information\n\nThe extension is currently under development and we welcome feedback, comments, and contributions to make it even better.\n\n## Sponsor 💖\n\nIf this extension has saved you time and hassle during a security assessment, consider showing some love by sponsoring a cup of coffee ☕ for the developer. It's the fuel that powers development, after all. Just hit that shiny Sponsor button at the top of the page or [click here](https:\u002F\u002Fgithub.com\u002Fsponsors\u002Faress31) to contribute and keep the caffeine flowing. 💸\n\n## Reporting Issues\n\nDid you find a bug? Well, don't just let it crawl around! Let's squash it together like a couple of bug whisperers! 🐛💪\n\nPlease report any issues on the [GitHub issues tracker](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Fissues). Together, we'll make this extension as reliable as a cockroach surviving a nuclear apocalypse! 🚀\n\n## Contributing\n\nLooking to make a splash with your mad coding skills? 💻\n\nAwesome! Contributions are welcome and greatly appreciated. Please submit all PRs on the [GitHub pull requests tracker](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Fpulls). Together we can make this extension even more amazing! 🚀\n\n## License\n\nSee [LICENSE](LICENSE).\n","> [!IMPORTANT]\n> 我们宣布推出 [BurpGPT Pro](https:\u002F\u002Fburpgpt.app\u002F) 版本,该版本专为专业人士和网络安全公司量身定制。探索一系列强大的功能和用户友好的界面,它们将提升您的能力并确保最佳的用户体验。要享受这些优势,请访问我们的[网站](https:\u002F\u002Fburpgpt.app\u002F)并阅读[文档](https:\u002F\u002Fdocs.burpgpt.app\u002F)以获取更多信息。\n\n> [!WARNING]\n> 请注意,社区版已不再维护且无法正常运行。如需继续获得更新、新功能、错误修复及改进,请考虑升级至[专业版](https:\u002F\u002Fburpgpt.app\u002F)。**针对社区版提交`Issue`已无实际意义。**\n\n# burpgpt\n\n[![Java CI with Gradle](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Factions\u002Fworkflows\u002Fgradle-build.yml\u002Fbadge.svg)](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Factions\u002Fworkflows\u002Fgradle-build.yml)\n\n`burpgpt` 利用 `AI` 的强大能力来检测传统扫描器可能遗漏的安全漏洞。它会将网络流量发送到用户指定的 `OpenAI` `模型`,从而在被动扫描器中实现复杂分析。此扩展提供了可自定义的 `prompt`,使用户能够根据自身需求对网络流量进行定制化分析。请参阅[示例用例](#example-use-cases)部分以获取灵感。\n\n该扩展会生成一份自动化的安全报告,基于用户的 `prompt` 和来自 `Burp` 发出的请求的实时数据,总结潜在的安全问题。通过利用 `AI` 和自然语言处理技术,该扩展简化了安全评估流程,为安全专业人员提供了对被扫描应用或端点的更高层次概览。这使得他们能够更轻松地识别潜在的安全问题并优先进行分析,同时覆盖更大的潜在攻击面。\n\n> [!WARNING]\n> 数据流量会被发送至 `OpenAI` 进行分析。如果您对此有所顾虑,或者正在将该扩展用于关键安全应用,则务必谨慎考虑,并查阅 [OpenAI 的隐私政策](https:\u002F\u002Fopenai.com\u002Fpolicies\u002Fprivacy-policy) 以获取更多信息。\n\n> [!WARNING]\n> 尽管报告是自动生成的,但仍需要安全专业人员进行分类和后处理,因为报告中可能包含误报。\n\n> [!WARNING]\n> 此扩展的有效性高度依赖于用户为所选 `GPT` 模型创建的 `[prompt 的质量和精确度](#prompt-configuration)`。这种有针对性的方法将有助于确保 `GPT 模型` 为您的安全分析生成准确且有价值的结果。\n\n## 功能\n\n- 添加了一个 `被动扫描检查`,允许用户通过一个 `占位符` 系统将 `HTTP` 数据提交给由 `OpenAI` 控制的 `GPT 模型` 进行分析。\n- 利用 `OpenAI 的 GPT 模型` 的强大功能进行全面的流量分析,不仅能够检测被扫描应用中的安全漏洞,还能发现其他各类问题。\n- 允许用户精细控制分析过程中使用的 `GPT 令牌` 数量,通过精确调整 `最大 prompt 长度` 来实现。\n- 提供多种 `OpenAI 模型` 供用户选择,以便他们挑选最适合自己需求的模型。\n- 使用户能够自定义 `prompt`,从而释放与 `OpenAI 模型` 交互的无限可能。请浏览[示例用例](#example-use-cases)以获取灵感。\n- 与 `Burp Suite` 集成,提供所有原生的预处理和后处理功能,包括直接在 Burp UI 中显示分析结果,以实现高效分析。\n- 通过原生的 `Burp 事件日志` 提供故障排除功能,使用户能够快速解决与 `OpenAI API` 的通信问题。\n\n## 要求\n\n### 1. 系统要求\n\n- 操作系统:兼容 `Linux`、`macOS` 和 `Windows` 操作系统。\n- Java 开发工具包 (JDK):`版本 11` 或更高。\n- Burp Suite 专业版或社区版:`版本 2023.3.2` 或更高。\n\n > [!IMPORTANT]\n > 请注意,使用低于 `2023.3.2` 的任何版本可能会导致 [java.lang.NoSuchMethodError](https:\u002F\u002Fforum.portswigger.net\u002Fthread\u002Fmontoya-api-nosuchmethoderror-275048be) 错误。为避免此问题,务必使用指定版本或更高版本。\n\n### 2. 构建工具\n\n- Gradle:`版本 6.9` 或更高(推荐)。项目仓库中提供了 [build.gradle](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Fblob\u002Fmain\u002Flib\u002Fbuild.gradle) 文件。\n\n### 3. 环境变量\n\n- 设置 `JAVA_HOME` 环境变量,使其指向 `JDK` 安装目录。\n\n请确保在构建和运行项目之前,满足所有系统要求,包括兼容的 `Burp Suite` 版本。请注意,项目的外部依赖项将在构建过程中由 `Gradle` 自动管理并安装。遵守这些要求将有助于避免潜在问题,并减少在项目仓库中提出新问题的需求。\n\n## 安装\n\n### 1. 编译\n\n1. 确保您已安装并配置好 `Gradle`。\n\n2. 下载 `burpgpt` 仓库:\n\n ```bash\n git clone https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\n cd .\\burpgpt\\\n ```\n\n3. 构建独立的 `jar` 文件:\n\n ```bash\n .\u002Fgradlew shadowJar\n ```\n\n### 2. 将扩展加载到 `Burp Suite`\n\n要在 `Burp Suite` 中安装 `burpgpt`,首先转到 `Extensions` 选项卡,然后单击 `Add` 按钮。接着,选择位于 `.\\lib\\build\\libs` 文件夹中的 `burpgpt-all` jar 文件来加载扩展。\n\n## 使用方法\n\n要开始使用 burpgpt,用户需要在 Burp Suite 菜单栏中的设置面板中完成以下步骤:\n\n1. 输入有效的 `OpenAI API 密钥`。\n2. 选择一个 `模型`。\n3. 定义 `最大 prompt 大小`。此字段用于控制发送到 `OpenAI` 的最大 `prompt` 长度,以避免超过 `GPT` 模型的 `maxTokens`(通常 `GPT-3` 的上限约为 `2048`)。\n4. 根据您的需求调整或创建自定义 prompt。\n\n\u003Cimg src=\"https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Faress31_burpgpt_readme_e3458e87f516.png\" alt=\"burpgpt UI\" width=\"75%\" height=\"75%\">\n\n按照上述步骤完成配置后,`Burp 被动扫描器` 会将每个请求通过 `OpenAI API` 发送到选定的 `OpenAI 模型` 进行分析,并根据分析结果生成 `Informational` 级别的严重性发现。\n\n\u003Cimg src=\"https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Faress31_burpgpt_readme_805739498a06.png\" alt=\"burpgpt finding\" width=\"75%\" height=\"75%\">\n\n### 提示配置\n\n`burpgpt` 使用户能够通过占位符系统来自定义用于流量分析的 `prompt`。为了包含相关信息,我们建议使用这些由扩展直接处理的 `占位符`,从而动态地将特定值插入到 `prompt` 中:\n\n| 占位符 | 描述 |\n| ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| `{REQUEST}` | 已扫描的请求。 |\n| `{URL}` | 已扫描请求的 URL。 |\n| `{METHOD}` | 已扫描请求中使用的 HTTP 请求方法。 |\n| `{REQUEST_HEADERS}` | 已扫描请求的头部信息。 |\n| `{REQUEST_BODY}` | 已扫描请求的主体内容。 |\n| `{RESPONSE}` | 已扫描的响应。 |\n| `{RESPONSE_HEADERS}` | 已扫描响应的头部信息。 |\n| `{RESPONSE_BODY}` | 已扫描响应的主体内容。 |\n| `{IS_TRUNCATED_PROMPT}` | 一个布尔值,根据程序逻辑设置为 `true` 或 `false`,用于指示 `prompt` 是否已被截断至在 `设置` 中定义的 `最大提示长度`。\n\n这些 `占位符` 可以用于自定义 `prompt` 中,以动态生成针对特定已扫描请求的请求\u002F响应分析 `prompt`。\n\n> [!NOTE] > `Burp Suite` 提供了通过使用[会话处理规则](https:\u002F\u002Fportswigger.net\u002Fsupport\u002Fconfiguring-burp-suites-session-handling-rules)或诸如[自定义参数处理器](https:\u002F\u002Fportswigger.net\u002Fbappstore\u002Fa0c0cd68ab7c4928b3bf0a9ad48ec8c7)之类的扩展来支持任意 `占位符` 的功能,从而实现对 `prompts` 的更高级别自定义。\n\n### 示例用例\n\n以下示例用例展示了 `burpgpt` 的定制化和高度可配置性,使用户能够根据自身需求量身定制其 Web 流量分析。\n\n- 识别使用受特定 CVE 影响的加密库的 Web 应用程序中的潜在漏洞:\n\n ```\n 分析请求和响应数据,查找与受 CVE-{CVE_NUMBER} 影响的 {CRYPTO_LIBRARY_NAME} 加密库相关的潜在安全漏洞:\n\n Web 应用程序 URL:{URL}\n 加密库名称:{CRYPTO_LIBRARY_NAME}\n CVE 编号:CVE-{CVE_NUMBER}\n 请求头:{REQUEST_HEADERS}\n 响应头:{RESPONSE_HEADERS}\n 请求体:{REQUEST_BODY}\n 响应体:{RESPONSE_BODY}\n\n 请识别请求和响应数据中与受 CVE-{CVE_NUMBER} 影响的 {CRYPTO_LIBRARY_NAME} 加密库相关的任何潜在漏洞,并予以报告。\n ```\n\n- 通过分析与生物特征认证过程相关的请求和响应数据,扫描使用生物特征认证的 Web 应用程序中的漏洞:\n\n ```\n 分析请求和响应数据,查找与生物特征认证过程相关的潜在安全漏洞:\n\n Web 应用程序 URL:{URL}\n 生物特征认证请求头:{REQUEST_HEADERS}\n 生物特征认证响应头:{RESPONSE_HEADERS}\n 生物特征认证请求体:{REQUEST_BODY}\n 生物特征认证响应体:{RESPONSE_BODY}\n\n 请识别请求和响应数据中与生物特征认证过程相关的任何潜在漏洞,并予以报告。\n ```\n\n- 分析无服务器函数之间交换的请求和响应数据,以查找潜在的安全漏洞:\n\n ```\n 分析无服务器函数之间交换的请求和响应数据,查找潜在的安全漏洞:\n\n 无服务器函数 A 的 URL:{URL}\n 无服务器函数 B 的 URL:{URL}\n 无服务器函数 A 的请求头:{REQUEST_HEADERS}\n 无服务器函数 B 的响应头:{RESPONSE_HEADERS}\n 无服务器函数 A 的请求体:{REQUEST_BODY}\n 无服务器函数 B 的响应体:{RESPONSE_BODY}\n\n 请识别两台无服务器函数之间交换的数据中存在的任何潜在漏洞,并予以报告。\n ```\n\n- 分析请求和响应数据,查找特定于单页应用(SPA)框架的潜在安全漏洞:\n\n ```\n 分析请求和响应数据,查找特定于 {SPA_FRAMEWORK_NAME} 单页应用框架的潜在安全漏洞:\n\n Web 应用程序 URL:{URL}\n SPA 框架名称:{SPA_FRAMEWORK_NAME}\n 请求头:{REQUEST_HEADERS}\n 响应头:{RESPONSE_HEADERS}\n 请求体:{REQUEST_BODY}\n 响应体:{RESPONSE_BODY}\n\n 请识别请求和响应数据中与 {SPA_FRAMEWORK_NAME} 单页应用框架相关的任何潜在漏洞,并予以报告。\n ```\n\n## 路线图\n\n- [x] 在“设置”面板中添加一个新字段,允许用户为请求设置 `maxTokens` 限制,从而限制请求大小。\u003C- 仅限 [BurpGPT 专业版](https:\u002F\u002Fburpgpt.app)。\n- [x] 添加对接本地 `AI 模型` 实例的支持,使用户能够在本地机器上运行和交互该模型,从而可能提升响应速度并增强 **数据隐私**。\u003C- 仅限 [BurpGPT 专业版](https:\u002F\u002Fburpgpt.app)。\n- [ ] 获取每个 `模型` 的精确 `maxTokens` 值,以便传输最大允许的数据量,并获得尽可能全面的 `GPT` 响应。\n- [x] 实现持久化配置存储,以在每次重启 `Burp Suite` 后保留设置。\u003C- 仅限 [BurpGPT 专业版](https:\u002F\u002Fburpgpt.app)。\n- [x] 优化代码,更准确地将 `GPT` 响应解析到“漏洞模型”中,以改善报告功能。\u003C- 仅限 [BurpGPT 专业版](https:\u002F\u002Fburpgpt.app)。\n\n## 项目信息\n\n该扩展目前仍在开发中,我们欢迎反馈、评论和贡献,以使其更加完善。\n\n## 赞助 💖\n\n如果这款扩展在您的安全评估过程中为您节省了时间和精力,请考虑通过赞助一杯咖啡 ☕ 来支持开发者。毕竟,这可是推动开发工作的动力源泉!只需点击页面顶部的醒目“赞助”按钮,或 [点击此处](https:\u002F\u002Fgithub.com\u002Fsponsors\u002Faress31) 进行捐助,让开发工作持续充满活力吧。💸\n\n## 报告问题\n\n发现了一个 bug?别让它继续“爬来爬去”啦!让我们像两位“虫子魔法师”一样,一起把它消灭掉吧!🐛💪\n\n请在 [GitHub 问题追踪器](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Fissues) 上报告任何问题。相信通过我们的共同努力,这款扩展一定会像蟑螂在核战争后依然存活一样可靠!🚀\n\n## 参与贡献\n\n想用您高超的编程技能大展身手吗?💻\n\n太棒了!我们非常欢迎并感激您的贡献。请将所有拉取请求提交至 [GitHub 拉取请求追踪器](https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\u002Fpulls)。让我们携手合作,把这款扩展打造得更加出色!🚀\n\n## 许可证\n\n请参阅 [LICENSE](LICENSE) 文件。","# BurpGPT 快速上手指南\n\nBurpGPT 是一款利用 AI(OpenAI GPT 模型)增强 Burp Suite 被动扫描能力的扩展工具。它能将 HTTP 流量发送给指定的 AI 模型进行深度分析,帮助发现传统扫描器可能遗漏的安全漏洞。\n\n> **重要提示**:社区版(Community Edition)已停止维护且不再功能完整。如需持续更新、新功能及 Bug 修复,建议升级至 [BurpGPT Pro](https:\u002F\u002Fburpgpt.app\u002F)。本指南基于开源社区版编写,仅供学习参考。\n\n## 1. 环境准备\n\n在开始之前,请确保您的系统满足以下要求:\n\n### 系统要求\n- **操作系统**:Linux、macOS 或 Windows。\n- **JDK 版本**:Java Development Kit (JDK) **11** 或更高版本。\n- **Burp Suite 版本**:Professional 或 Community Edition **2023.3.2** 或更高版本。\n > ⚠️ 注意:使用低于 `2023.3.2` 的版本会导致 `java.lang.NoSuchMethodError` 错误。\n\n### 构建工具\n- **Gradle**:版本 **6.9** 或更高(推荐)。\n\n### 环境变量\n- 确保已设置 `JAVA_HOME` 环境变量,指向您的 JDK 安装目录。\n\n### 其他依赖\n- 有效的 **OpenAI API Key**。\n- 网络需能访问 OpenAI API(若在国内,请自行配置网络代理)。\n\n## 2. 安装步骤\n\n### 第一步:克隆项目\n打开终端或命令行工具,执行以下命令下载源码:\n\n```bash\ngit clone https:\u002F\u002Fgithub.com\u002Faress31\u002Fburpgpt\ncd burpgpt\n```\n\n### 第二步:编译构建\n使用 Gradle 构建独立的 JAR 文件:\n\n```bash\n.\u002Fgradlew shadowJar\n```\n*(Windows PowerShell 用户若无法执行 `.\u002Fgradlew`,请使用 `.\\gradlew.bat shadowJar`)*\n\n构建完成后,生成的插件文件位于 `lib\u002Fbuild\u002Flibs\u002F` 目录下,文件名通常为 `burpgpt-all.jar`。\n\n### 第三步:加载到 Burp Suite\n1. 启动 Burp Suite。\n2. 进入 **Extensions**(扩展)标签页。\n3. 点击 **Add**(添加)按钮。\n4. 在 \"Extension type\" 中选择 **Java**。\n5. 在 \"Extension file\" 中,选择上一步生成的 `lib\u002Fbuild\u002Flibs\u002Fburpgpt-all.jar` 文件。\n6. 点击 **Next** 直至完成加载。\n\n## 3. 基本使用\n\n加载成功后,您需要配置 API 密钥和分析策略才能开始工作。\n\n### 配置步骤\n1. 在 Burp 顶部菜单栏找到 **BurpGPT** 或进入 **Extensions** 面板找到设置项。\n2. **OpenAI API Key**:填入您的有效 API Key。\n3. **Model**:选择您想要使用的 GPT 模型(如 `gpt-3.5-turbo`, `gpt-4` 等)。\n4. **Max Prompt Size**:设置发送给 AI 的最大提示词长度(通常设为 `2048` 左右,避免超出模型限制)。\n5. **Prompt Configuration**(可选):您可以自定义分析提示词。工具支持占位符(如 `{REQUEST}`, `{RESPONSE_BODY}` 等)来动态插入流量数据。\n\n *默认提示词示例逻辑:*\n ```text\n Analyse the request and response data for potential security vulnerabilities...\n Request: {REQUEST}\n Response: {RESPONSE}\n ```\n\n### 运行扫描\n配置完成后,无需额外操作:\n1. 正常使用 Burp Suite 进行浏览或让 **Passive Scanner**(被动扫描器)处理流量。\n2. BurpGPT 会自动拦截被动扫描的请求,将其发送至 OpenAI 进行分析。\n3. 分析结果将以 **Informational**(信息类)严重程度的形式显示在 **Dashboard** 或 **Scanner** 结果面板中。\n\n### 查看结果\n点击扫描结果中的条目,您可以在详情中看到 AI 生成的分析报告,其中包含潜在的安全问题摘要及建议。\n\n> **安全警告**:\n> - 所有流量数据将被发送至 OpenAI 服务器,请勿在处理高度敏感数据时使用此工具,或仔细查阅 OpenAI 隐私政策。\n> - AI 生成的报告可能包含误报,务必由专业安全人员进行人工复核和分类。","某安全团队正在对一家金融科技公司新上线的复杂 API 网关进行深度渗透测试,该网关包含大量非标准的业务逻辑和自定义数据交互格式。\n\n### 没有 burpgpt 时\n- 传统被动扫描器仅能识别 SQL 注入、XSS 等通用漏洞,面对复杂的业务逻辑缺陷(如越权访问特定订单、参数篡改导致的价格异常)完全无能为力。\n- 分析师需要人工逐条审查成千上万条 HTTP 流量日志,试图从中发现异常模式,耗时极长且极易因疲劳而漏掉隐蔽的攻击面。\n- 针对每种特殊的业务场景编写定制化检测规则成本过高,导致测试往往只能覆盖表面,难以深入挖掘“量身定做”的深层隐患。\n- 在时间紧迫的项目周期内,团队被迫在“全面覆盖”和“深度分析”之间做取舍,往往牺牲了对长尾风险的排查。\n\n### 使用 burpgpt 后\n- burpgpt 利用 GPT 模型强大的语义理解能力,自动对流量进行被动扫描,精准识别出传统工具忽略的业务逻辑漏洞,如特定参数组合下的权限绕过。\n- 通过自定义 Prompt,分析师可以指示 burpgpt 专门关注“价格计算逻辑”或“用户数据隔离”等特定领域,实现了对流量的智能化、针对性分析。\n- 工具自动生成包含潜在风险摘要的安全报告,将原本需要数天的人工筛选工作缩短至几小时,让团队能快速定位并优先处理高价值问题。\n- 借助 AI 的泛化能力,burpgpt 在不修改底层代码的情况下,轻松适应了该网关独特的非标准协议格式,显著扩大了有效攻击面的覆盖范围。\n\nburpgpt 通过将 AI 的推理能力融入被动扫描流程,成功将安全测试从机械的规则匹配升级为智能的逻辑洞察,极大提升了发现深层 bespoke 漏洞的效率。","https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002Faress31_burpgpt_e3458e87.png","aress31","Alexandre Teyar","https:\u002F\u002Foss.gittoolsai.com\u002Favatars\u002Faress31_dd43edff.jpg","Keep calm and hack something, but remember to wear a ninja mask for added stealth. 🐱‍👤😎","@aegiscyber ","Warrington, United Kingdom",null,"https:\u002F\u002Fwww.aegiscyber.co.uk\u002F","https:\u002F\u002Fgithub.com\u002Faress31",[84,88],{"name":85,"color":86,"percentage":87},"Java","#b07219",85.8,{"name":89,"color":90,"percentage":91},"HTML","#e34c26",14.2,2288,282,"2026-04-17T11:52:50","Apache-2.0",4,"Linux, macOS, Windows","未说明",{"notes":100,"python":98,"dependencies":101},"该工具是 Burp Suite 的 Java 扩展插件,非独立 Python 应用。运行需安装 JDK 11 及以上版本,并配置 JAVA_HOME 环境变量;需使用 Gradle 6.9+ 进行构建。必须拥有有效的 OpenAI API Key 才能使用,数据流量会发送至 OpenAI 进行分析。社区版已停止维护,建议升级至 Pro 版。",[102,103,104],"JDK 11+","Gradle 6.9+","Burp Suite 2023.3.2+",[13,15,35,45,14],[107,108,109,110,111,112,113,114,115,116,117,118,119,120],"ai","burp-extensions","burpsuite","cybersecurity","gpt","openai","pentesting","security","security-automation","webapp","burp-plugin","burpsuite-extender","gpt-3","openai-api","2026-03-27T02:49:30.150509","2026-04-19T06:02:49.790412",[],[]]