Burp Suite MCP: Integrando o Burp ao Claude Code para Web Application Testing com IA

O Burp Suite sempre foi o canivete suíço do application security. Desde 2003, quando PortSwigger lançou a primeira versão, a ferramenta evoluiu de um simples proxy interceptador para uma plataforma completa de testes de segurança web. Mas o interfaceamento com IA? Isso ficou por conta da comunidade — e de duas implementações que estão mudando a forma como fazemos web testing.

Hoje existem dois players principais: o [PortSwigger/mcp-server](https://github.com/PortSwigger/mcp-server) (788+ estrelas, GPL-3.0, mantido pela própria PortSwigger) e o [six2dez/burp-ai-agent](https://github.com/six2dez/burp-ai-agent) (1146+ estrelas, MIT, criado pelo six2dez). Ambos expõem o Burp Suite via Model Context Protocol, permitindo que LLMs como Claude e GPT analisem requisições, identifiquem vulnerabilidades e até executem testes ativos.

Dois Projetos, Duas Filosofias

PortSwigger/mcp-server: o oficial

O projeto da PortSwigger é uma extensão Burp Suite escrita em Kotlin que implementa um servidor MCP nativo dentro do Burp. Ele expõe as funcionalidades do Burp via SSE (Server-Sent Events) na porta 9876 e inclui um proxy STDIO empacotado para clientes como o Claude Desktop.

Funcionalidades principais:

Conexão direta entre o Burp Suite e clientes MCP

Instalação automática para Claude Desktop

Proxy STDIO empacotado para compatibilidade

Ferramentas MCP expostas diretamente da API do Burp

six2dez/burp-ai-agent: o community powerhouse

O burp-ai-agent é uma besta. Com 1146 estrelas e atualizações semanais, é a implementação mais completa e feature-rich disponível. Destaques impressionantes:

– 11 backends de IA — incluindo Ollama (local), LM Studio, NVIDIA NIM, Perplexity, Claude CLI, Codex CLI, e o Burp AI nativo (quando usa Burp Pro)

– 53+ ferramentas MCP — dezenas de operações expostas para o LLM

– 62 classes de vulnerabilidade — scanner passivo e ativo baseado em IA cobrindo injection, auth, crypto e mais

– 3 modos de privacidade — STRICT / BALANCED / OFF para controlar o que é enviado para a IA

– Audit logging — logs JSONL com hash SHA-256 para compliance

– Burp Scan Skill — skill separada que transforma o Claude Code, Gemini CLI ou Codex num scanner Burp

O burp-ai-agent trabalha tanto no Burp Community quanto no Professional. Não exige licença paga para funcionar.

Configurando o PortSwigger MCP Server

Instalação

“`bash

git clone https://github.com/PortSwigger/mcp-server.git

cd mcp-server

./gradlew embedProxyJar

“`

O JAR resultante fica em `build/libs/burp-mcp-all.jar`.

Carregando no Burp Suite

1. Abra o Burp Suite → aba Extensions

2. Clique Add → Extension Type: Java

3. Selecione o `burp-mcp-all.jar`

4. O MCP Server aparece na aba MCP

Configuração do Claude Desktop

O PortSwigger inclui um instalador automático. Ou configure manualmente o `claude_desktop_config.json`:

“`json

{

“mcpServers”: {

“burp”: {

“command”: ““,

“args”: [

“-jar”,

“/caminho/para/mcp-proxy-all.jar”,

“–sse-url”,

“http://127.0.0.1:9876”

]

}

}

}

“`

Para outros clientes MCP que suportam SSE diretamente, aponte para `http://127.0.0.1:9876/sse`.

Configurando o Burp AI Agent

Instalação

“`bash

git clone https://github.com/six2dez/burp-ai-agent.git

cd burp-ai-agent

JAVA_HOME=/path/to/jdk-21 ./gradlew clean shadowJar

Output: build/libs/Custom-AI-Agent-.jar

“`

Carregue o JAR no Burp via Extensions → Add → Java.

Configurando backend de IA

O burp-ai-agent suporta múltiplos backends simultaneamente. Os mais relevantes para um pentester:

| Backend | Tipo | Uso |

|—|—|—|

| Ollama | Local | `ollama serve && ollama pull llama3.1` — sem custo, sem vazamento de dados |

| Claude CLI | Cloud | `claude login` — melhor reasoning para segurança |

| Codex CLI | Cloud | `OPENAI_API_KEY=…` — bom para análise de código |

| Burp AI | Nativo | Usa a IA embutida do Burp Pro, sem config extra |

Conectando o Claude Code via MCP

O burp-ai-agent expõe um servidor MCP SSE na porta 9876. Para conectar ao Claude Desktop:

“`json

{

“mcpServers”: {

“burp-ai-agent”: {

“command”: “npx”,

“args”: [

“-y”, “supergateway”,

“–sse”, “http://127.0.0.1:9876/sse”

]

}

}

}

“`

Burp Scan Skill: Claude Code como Scanner

Essa é a killer feature do burp-ai-agent. A skill `burp-scan` transforma o Claude Code num scanner Burp completo:

“`bash

cp -r skills/burp-scan ~/.claude/skills/burp-scan

“`

Depois, no Claude Code:

“`

Você: “Conecte ao Burp MCP em localhost:9876 e faça scan do proxy history para IDOR”

→ Claude usa proxy_http_history para puxar o tráfego

→ Identifica endpoints com IDs numéricos

→ Envia payloads ID+1, ID-1 via http1_request

→ Compara respostas para detectar vazamento de dados de outro usuário

→ Cria issue_create para IDOR confirmado

“`

O skill inclui 200+ payloads organizados por 62 classes de vulnerabilidade, com padrões de detecção para cada uma.

Fluxo de Trabalho na Prática

Análise de requisição com IA

O fluxo típico com Claude Code + Burp MCP:

1. Configure o browser para usar o Burp como proxy

2. Navegue no alvo — todo tráfego é capturado no Proxy History

3. No Claude Code: “Analise as requisições capturadas e identifique parâmetros suscetíveis a injection”

4. O LLM faz chamadas MCP para listar o proxy history, analisa headers, parâmetros e cookies

5. Sugere testes específicos com base no que encontrou

Scanner ativo assistido por IA

“`

Você: “Para cada endpoint no proxy history, teste parameter pollution e mass assignment”

→ Claude itera sobre as requisições

→ Identifica endpoints com múltiplos parâmetros

→ Envia variações duplicando parâmetros

→ Compara respostas e identifica anomalias

→ Reporta vulnerabilidades confirmadas com evidência

“`

Privacidade: o modo STRICT

Uma preocupação legítima com IA + security testing é o vazamento de dados sensíveis. O burp-ai-agent resolve isso com 3 modos:

– STRICT — redige headers de autorização, cookies, IP do alvo, e qualquer dado identificado como sensível antes de enviar para a IA

– BALANCED — redige apenas tokens e credenciais explícitas

– OFF — envia tudo (útil apenas em labs de treinamento)

Para pentests reais, STRICT é obrigatório. Para Bug Bounty, BALANCED é aceitável se o escopo permite.

Comparação Direta: PortSwigger vs six2dez

| Feature | PortSwigger/mcp-server | six2dez/burp-ai-agent |

|—|—|—|

| Estrelas | 788 | 1146 |

| Licença | GPL-3.0 | MIT |

| Scanner passivo | Não | 62 classes de vuln |

| Scanner ativo | Não | 200+ payloads |

| Backends de IA | Apenas clientes MCP externos | 11 backends integrados |

| Modos de privacidade | Não | STRICT/BALANCED/OFF |

| Audit logging | Não | JSONL com SHA-256 |

| Burp Scan Skill | Não | Claude Code como scanner |

| Suporte | Oficial PortSwigger | Comunidade |

| Instalação | Gradle build | JAR pronto nos releases |

Para uso profissional, o burp-ai-agent é superior em quase todos os aspectos. A única vantagem do projeto oficial é o suporte da PortSwigger e a garantia de compatibilidade futura com versões do Burp.

Riscos e Preocupações

Vazamento de dados para a nuvem

Mesmo com modo STRICT, enviar qualquer parte do tráfego HTTP para Claude ou GPT significa que a nuvem da Anthropic/OpenAI vê fragmentos do seu pentest. Em cenários com dados sensíveis (healthcare, financeiro, gov), isso pode violar NDA e regulamentações.

Execução não autorizada

Um LLM com acesso ao Burp MCP pode enviar requisições para o alvo sem confirmação. Se o prompt do usuário for ambíguo ou se houver prompt injection, o LLM pode testar endpoints fora do escopo ou disparar WAFs.

Falsos positivos em massa

LLMs são otimistas por natureza. Eles tendem a reportar vulnerabilidades que não existem. Sem validação humana, um scan assistido por IA gera mais ruído do que signal.

Onde a IA Agrega Valor Real

A IA não vai substituir o pentester web, mas acelera trabalhos repetitivos:

– Classificação de tráfego — filtrar centenas de requisições no proxy history e identificar as interessantes para teste manual

– Sugestão de payloads — gerar variações de fuzzing baseadas no contexto da aplicação, não em wordlists genéricas

– Documentação automática — gerar relatórios de finding com descrição técnica, impacto e prova de conceito

– Análise de JavaScript — identificar endpoints ocultos, API keys hardcoded e lógica de autorização client-side

A IA brilha como assistente de pesquisa e triagem. Como scanner autônomo, ainda é prematuro.

Conclusão

O ecossistema Burp + MCP está maduro o suficiente para uso em produção, especialmente com o burp-ai-agent do six2dez. A combinação do proxy do Burp com o reasoning do Claude cria um workflow que não existia antes: análise semiautomática de tráfego web com contexto profundo de segurança.

Mas o fator decisivo é o modo de privacidade. Sem STRICT, não use em production. Com STRICT, o ganho de velocidade na triagem compensa o overhead de configuração.

O PortSwigger/mcp-server oficial é relevante pela sinalização — quando a empresa criadora do Burp investe em MCP, o protocolo ganha legitimidade na comunidade de segurança. Mas quem quer resultados hoje, usa o burp-ai-agent.

—

Repositórios:

[PortSwigger/mcp-server](https://github.com/PortSwigger/mcp-server) — 788+ estrelas

[six2dez/burp-ai-agent](https://github.com/six2dez/burp-ai-agent) — 1146+ estrelas

Documentação oficial: [burp-ai-agent.six2dez.com](https://burp-ai-agent.six2dez.com)