a.内容描述
该项目是一个用于将某知名安全测试框架(appstore榜单上排名靠前的安全测试APP的桌面端工具)与AI客户端进行集成的扩展插件。它基于模型上下文协议(Model Context Protocol,MCP)实现通信,允许AI助手直接与该安全测试框架进行交互。
核心功能定位:
- 为该安全测试框架与AI客户端之间建立连接通道
- 使AI能够调用该安全测试框架的各种功能
- 提供多种连接方式以适应不同AI客户端的要求
关键应用场景:
- 通过桌面AI应用(如某知名AI对话系统)自动化执行安全测试任务
- 在AI辅助下进行安全漏洞的检测与分析
- 集成到开发环境中的AI编程助手,实现安全测试流程的自动化
b.功能特性
核心功能点:
- MCP服务器集成:在该安全测试框架内部启动MCP服务器,暴露API供AI客户端调用
- 自动配置安装:为某知名AI对话系统提供一键安装配置功能,自动生成并更新配置文件
- 双模式连接支持:
- SSE模式:直接提供HTTP SSE端点供客户端连接
- Stdio代理模式:为仅支持Stdio协议的客户端提供代理转换服务
- 工具扩展机制:支持通过定义数据类来创建新工具,工具名称自动从参数类派生
- 分页支持:扩展分页接口可为工具添加自动分页能力
- 配置管理:提供启用/禁用服务器、编辑配置文件、配置主机端口等选项
d.使用说明
安装步骤:
- 确保系统已安装Java且
jar命令可用 - 克隆代码仓库并使用Gradle构建:
./gradlew embedProxyJar - 在该安全测试框架的扩展标签页中加载生成的JAR文件
配置方法:
- 在该安全测试框架的
MCP标签页中配置服务器开关、端口(默认9876)和主机地址 - 对于某知名AI对话系统,可使用扩展内置的安装器自动配置,或手动编辑配置文件
- 手动配置时需要指定Java执行路径和代理JAR路径,以及SSE服务URL
连接方式:
- SSE直连:客户端直接连接
http://127.0.0.1:9876或http://127.0.0.1:9876/sse - Stdio代理:使用打包的代理JAR,配置命令和参数指向SSE服务地址
工具开发:
在Tools.kt文件中定义可序列化的数据类作为工具参数,工具名称自动派生,添加描述供AI理解,返回字符串或更丰富的内容给AI。
e.潜在新需求
(1)用户希望增加基于Burp Collaborator的带外交互测试工具,包括生成Collaborator负载、轮询DNS/HTTP/SMTP交互记录、读取具体交互详情等功能,以支持更全面的漏洞检测场景
(2)用户希望扩展支持更多AI客户端平台,特别是某知名代码编辑器的AI助手和某科技巨头的命令行AI工具,以及某大型科技公司的多模态AI模型
(3)用户希望增加对HTTP/2协议的支持,使AI客户端能够发送和接收HTTP/2格式的请求并正确获取响应
(4)用户希望服务器主机地址字段可编辑,支持跨平台连接场景(如从WSL连接到Windows主机上运行的服务)
(5)用户希望增加对Linux操作系统的某知名AI对话系统配置文件路径的自动识别和安装支持
(6)用户希望将MCP功能原生集成到该安全测试框架中,无需用户单独安装扩展,类似于某知名设计工具的MCP内置支持
(7)用户希望增强HTTP历史记录的处理能力,对超长响应内容进行截断处理,防止在AI聊天界面中因数据量过大导致界面溢出或响应缓慢
(8)用户希望增加DNS重绑定保护功能,提升安全性
(9)用户希望修复代理JAR与服务器扩展之间的SDK版本不兼容问题,解决SSE端点路径不匹配导致的连接失败(服务器使用根路径/而代理请求/sse)
(10)用户希望解决在某些第三方AI客户端(如某聊天工具)中连接时返回403错误的问题,以及某代码编辑器AI扩展中的协议解析错误 article id:64e5c95586c5a71d1d913707cd0f2cab
