Mit BurpGPT lässt sich die Burp Suite um einen KI-Assistenten erweitern, der den Nutzern des Sicherheitswerkzeugs bei ihrer täglichen Pentest-Arbeit hilft. Wir haben das Tool im Rahmen unserer Serie zu KI in der IT-Security näher unter die Lupe genommen.
BurpGPT stellt im Betrieb eine Verbindung zwischen der Burp Suite und dem OpenAI-API her und nutzt dann die angebotenen Dienste, wie beispielsweise GPT-4, um die in Penetrationstests mit der Burp Suite gesammelten Daten zu analysieren.
(Bild: Siarhei - stock.adobe.com)
Die Burp Suite von PortSwigger, die sowohl in einer kostenlosen Community Edition, als auch in kostenpflichtigen Professional- beziehungsweise Enterprise-Versionen zur Verfügung steht, ist eine Sicherheits-Software, die sich nutzen lässt, um Penetrationstests bei Web-Applikationen durchzuführen. Die Suite umfasst mehrere unterschiedliche Komponenten, wie einen Robot, der indexieren kann (Burp Spider), einen Vulnerability Scanner (Burp Scanner), einen HTTP Repeater (Burp Repeater), ein Angriffswerkzeug (Burp Intruder) und einen Proxy Server (Burp Proxy). Die Lösung soll das Application-Security-Testing beschleunigen und automatisieren.
Der Burp Scanner ist dazu in der Lage, diverse Webanwendungen zu scannen, wie beispielsweise Single-Page-Anwendungen (SPAs) und APIs. Darüber hinaus kann er auch komplexe Authentifizierungssequenzen verarbeiten. Alle Schritte, die mit der Suite durchgeführt wurden, lassen sich aufzeichnen und anschließend mit einer Suchfunktion durchsuchen. Es handelt sich bei der Burp Suite also um ein recht interessantes Werkzeug und die Community Edition bietet einen guten Einstiegspunkt für Interessierte. BurpGPT funktioniert allerdings nur der kostenpflichtigen Burp Suite Pro, das liegt an den unterschiedlichen Fähigkeiten der Community und der Pro Editon.
Um uns mit dem Leistungsumfang von BurpGPT vertraut zu machen, führten wir ein Interview mit dem Entwickler der Lösung, Alexandre Teyar, durch, der uns im Rahmen des Gesprächs auch das Feature-Set des KI-Assistenten präsentierte. Nach Angaben von Herrn Teyar nutzen Application-Security-Spezialisten BurpGPT. Das KI-Tool ist vor allem bei Anwendern aus dem Consulting, der Finanz, dem Einzelhandel und Ähnlichem beliebt. Das gilt gleichermaßen für Nutzer aus Entwicklungsländern, die nur wenig Erfahrung haben, und professionelle User aus Industrieländern, die ihre Arbeitsprozesse und ihre Schwachstellenabdeckung verbessen möchten.
BurpGPT stellt im Betrieb eine Verbindung zwischen der Burp Suite und dem OpenAI-API her und nutzt dann die angebotenen Dienste, wie beispielsweise GPT-4, um die in Penetrationstests mit der Burp Suite gesammelten Daten zu analysieren. Alternativ kann die Lösung auch mit einer Azure-Open-AI-Integration arbeiten. In diesem Fall bleiben die Daten in der Unternehmensumgebung. Diese Option ergibt Sinn, wenn besondere Anforderungen an die Datensicherheit bestehen. Es kann sein, dass in Zukunft weitere Provider hinzukommen.
In der Praxis haben die Anwender die Option, Rahmenbedingungen wie die Länge der Prompts festzulegen und Platzhalter wie „(Request)“ und „(Response)“ (dazu später mehr) in den Eingaben zu verwenden. Auf diese Weise haben sie eine umfassende Kontrolle über die Anwendungsnutzung. Die Flexibilität und Versatilität der Lösung sind im praktischen Einsatz sehr groß, die Anwender können folglich prinzipiell alles fragen.
Um die Prompts, die von den Mitarbeitern oder der Community erstellt wurden, effizient zu verwalten, stellt BurpGPT eine zentrale Prompt-Library zur Verfügung. Hier lassen sich Prompts exportieren und mit anderen Anwendern teilen.
Eine weitere interessante Funktion des KI-Assistenten besteht in der Möglichkeit, anstelle externer Provider wie ChatGPT lokale Large Language Models (LLMs) zu verwenden. Diese Option ist für Einsatzbereiche gedacht, in denen die Anforderungen an die Privatsphäre besonders hoch sind, da es im Prinzip mit einem lokalen LLM nicht mehr erforderlich ist, dass irgendwelche mit den Pentests zusammenhängende Daten das Gerät verlassen. Lokale LLMs werden allerdings noch nicht für das produktive Arbeiten empfohlen. Die Funktion ist zwar für die meisten Konfigurationen funktional genug, die Stabilität der lokalen LLMs kann aber noch nicht als ausreichend robust angesehen werden. Das Feature gilt also noch als Work-in-Progress. Derzeit existieren mehr als 11.000 trainierte Modelle, die in der Hugging Face Library, die einen Hub mit Open Source Modellen darstellt, zur Verfügung stehen und von BurpGPT genutzt werden können.
Um mit BurpGPT zu arbeiten, stellen die Anwender zunächst einmal eine Anfrage. Diese könnte beispielsweise lauten: „Bitte analysiere die folgende HTTP-Anfrage und die dazugehörige Antwort in Hinblick auf potentielle Sicherheitsverwundbarkeiten. Achte dabei vor allem auf OWASP Top 10 Verwundbarkeiten wie SQL-Injection, XSS, CSFR und andere verbreitere Sicherheitsbedrohungen für Web-Anwendungen.“ Es besteht auch die Möglichkeit, Formatierungsanweisungen mitzugeben und zum Beispiel vorzugeben, dass die Antwort in Form einer formatierten Liste mit Punkten ausgegeben wird. BurpGPT nutzt dann das verbundene LLM zur Analyse. Dabei werden im Prompt vorhandene Placeholder wie „(Request)“ und „(Response)“ durch die von der Burp Suite gesendeten Anfragen beziehungsweise die erhaltenen Antworten ersetzt. Zurück kommt dann ein umfassender Report mit den angeforderten Daten. Im Rahmen der Antwort gibt das System zusätzlich ein Advisory aus.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Derzeit gilt, dass BurpGPT alle denkbaren Use Cases unterstützt und den Anwendern eine wichtige Hilfestellung sein kann, wenn es darum geht, Zeit zu sparen oder sich in die Materie einzuarbeiten. Herr Teyar sagte in diesem Zusammenhang: “ BurpGPT ist sowohl für IT-Sicherheitsexperten als auch für Einsteiger ein Muss, da das Tool durch die Integration in die Burp Suite eine nahtlose Möglichkeit bietet, die Leistungsfähigkeit von LLMs in ihrem Workflow zu nutzen. Es ist jedoch wichtig zu beachten, dass BurpGPT zwar die Testmöglichkeiten erweitert, aber nicht als Ersatz für gründliche Penetrationstests gedacht ist. Eine manuelle Validierung der Ergebnisse wird für umfassende Sicherheitsbewertungen weiterhin empfohlen.“
Genau wie bei der Integration von LLM-Anbietern wie OpenAI oder dem Azure-OpenAI-Service über die jeweiligen eigenen öffentlichen APIs kann die Funktion der lokalen LLMs genutzt werden, um verkehrsbasierte Analysen und ein verbessertes Vulnerability-Scanning durchzuführen. Die Anwender sind dazu in der Lage, ein LLM von Hugging Face auszuprobieren oder ein eigenes zu trainieren, was die Ergebnisse verbessern und gleichzeitig die Privatsphäre sicherstellen kann. Darüber hinaus lässt sich BurpGPT einsetzen, um Zero-Day-Schwachstellen zu erkennen, die kryptografische Integrität von Libraries zu evaluieren und vieles mehr.
Fazit
BurpGPT stellt ein gutes Beispiel für eine KI dar, die speziell für ein spezifisches Produkt entwickelt wurde. Sie eröffnet viele neue Möglichkeiten. Wenn man bedenkt, dass sie sich aus einem Proof-of-Concept-Projekt entwickelt hat und praktisch noch in den Kinderschuhen steckt, so ist in Zukunft noch viel von dem Werkzeug zu erwarten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/82/34/8234e4b36955027ee7ee94e6f03fe58b/0118038841.jpeg "Die Funktionsweise von BurpGPT.(Grafik: PortSwigger)")
:quality(80)/p7i.vogel.de/wcms/4b/32/4b3209ed07a6304515eaa18dd2d3ec16/0118038842.jpeg "Der Dialog zum Herstellen einer Verbindung zu OpenAI oder Azure.(Screenshot: Alexandre Teyar)")
:quality(80)/p7i.vogel.de/wcms/ab/3a/ab3a104f114797683d40f83d993b8bbd/0118038843.jpeg "Eine über BurpGPT gestellte Anfrage.(Screenshot: Alexandre Teyar)")
:quality(80)/p7i.vogel.de/wcms/53/49/5349385b42a176a8de9cfbab1a87a2d0/0118038844.jpeg "Die Prompt Library von BurpGPT.(Screenshot: Alexandre Teyar)")
:quality(80)/p7i.vogel.de/wcms/df/23/df2362f0d3189fad6526101fa3d511b4/0116753338.jpeg "ChatGPT kann nicht nur nette Texte schreiben, das KI-Tool kann sogar Admins dabei helfen, komplexe Protokolldateien und Firewall-Logs zu analysieren und sogar Phishing-E-Mails erkennen. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/41/21416a22094050a42523321b4cae1941/0113384447.jpeg "Als Unternehmen sollte man zurückhaltend bei der Nutzung eines Dienstes wie ChatGPT sein. Es empfiehlt sich, die weiteren Ergebnisse der Datenschutzaufsichtsbehörden genau zu beachten. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/91/669182f35112651909deeba31e92c0a9/0117565333.jpeg "Was macht ChatGPT so undurchschaubar und zugleich attraktiv für Skriptkiddies, Fuzzing und Seitenkanal-Attacken? (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/11/b7/11b76b96dbdb151a31906cad21db8a64/0123327739v1.jpeg "Der Autor: Matthias Bissinger ist Senior Security Consultant (DACH) bei aDvens. (Bild: aDvens)")
:quality(80)/p7i.vogel.de/wcms/c0/03/c003288d927184f8b2813d28b31081c2/0128543277v1.jpeg "Security-Gates im Secure Software Development Lifecycle, kurz Secure SDLC, prüfen Datenquellen, Modellartefakte und Tool-Zugriffe, bevor agentenbasierte Architekturen externe Schnittstellen nutzen. (Bild: © Urupong - stock.adobe.com)")