asaotomo/Hx0-HawkEye

# 🦅 Hx0 鹰眼（Hx0 HawkEye）：全栈式轻量抓包与 AI 安全审计扩展 【[English](./README_EN.md)/中文】          ## 一、它是什么 **告别繁琐代理，真正开箱即用。** Hx0 鹰眼是一款原生浏览器扩展（支持 Chrome / Firefox 及主流 Chromium 内核），直接在侧边栏为你提供完整的**抓包拦截、流量重放、微型 Fuzz 与 AI 智能审计**闭环。  #### ⚡ 核心优势：为什么不用传统代理？ + **零环境依赖**：无需打开 Burp Suite，不必改系统代理，无需信任根证书或配置 Java 环境。 + **绝对会话一致**：直面页面 XHR / Fetch 流量，与当前标签页**同源登录态完全一致**，彻底消除“代理丢 Cookie”、“频繁掉登录”的痛点。 + **开箱即用**：安装即生效，特别适合日常研发联调、接口排障及授权范围内的安全初筛。  #### 🤖 杀手锏：全流程 AI 智能赋能 (BYOK) 支持接入自有模型 API（BYOK），将 AI 无缝嵌入侧边栏工作流： + **智能用例与 Payload 生成**：在重放工作台自动梳理结构化测试思路；在微型 Fuzz 中结合上下文动态生成变异 Payload，告别臃肿的传统字典。   + **单包深度解读**：对复杂的 Request / Response 全文进行语义级 AI 解析，辅助风险研判。  + **批量归纳与分析**：在独立工作台中勾选多条数据包，AI 自动从接口族、第三方调用中提取规律，辅助供应链、依赖面等横向风险初筛。  + **双引擎静态狩猎**：**内置暗链检测规则 + AI 上下文语义解读** 强强联合，批量复盘多页面威胁，无死角覆盖静态隐患。   ## 二、开发背景 在 **前后端分离、SPA、大量 XHR/Fetch** 的日常研发与安全测试中，工程师经常需要在「浏览器真实会话」与「抓包 / 改包 / 重放」之间反复切换：传统代理类工具（如 Burp）能力上限高，但需改系统代理、信任证书，且与浏览器标签页的 **Cookie / 登录态** 容易出现断层；地址栏旁的轻量扩展又往往 **缺少持久历史、结构化详情与闭环工作台**。 **Hx0 鹰眼** 的设计目标是：在 **不强制改系统代理** 的前提下，把 **抓包 → 筛选定位 → 详情审计 → 拦截改包 → 重放 → 微型 Fuzz → 敏感与暗链检测 → 可选 AI 分析** 收敛到 **一个侧边栏主工作台**，降低联调排障、授权范围内的接口审计与初筛类工作的 **上下文切换成本**。 ## 三、功能介绍 核心工作流：**抓包** → **筛选** → **看详情** → **重放**（可 **AI 生成测试用例**）→ **微型 Fuzz**（可 **AI 生成 Payload**）→ **暗链检测 / AI 报文分析**（支持勾选多条后的 **批量 AI / 暗链工作台**）。     | 模块 | 说明 | | --- | --- | | **抓包** | 在页面主世界劫持 `fetch` / XHR，记录请求与响应（含 body，带容量保护）；可按 **域名/IP 通配**、**资源类型**（XHR/Fetch、JSON、HTML、JS、二进制等）、**自定义后缀** 收敛噪声。 | | **历史（History）** | **IndexedDB** 持久化；支持类型 / Host / 方法 / 状态码 / **敏感命中** / 搜索多维筛选；默认可限定 **当前页面** 或查看 **全部数据包**。 | | **拦截（Intercept）** | 队列式暂停请求，侧栏内 **编辑、放行、丢弃**；支持一键放行 / 丢弃；与抓包共用同一套目标规则。 | | **详情审计** | **Pretty / Raw / Hex**；响应 **Render**（沙箱渲染）；**敏感信息** 聚合与高亮；点击标题可复制完整 URL、下载双栏原文分段 `.txt`；**Burp 风格** 导出。 | | **重放工作台** | 编辑原始报文后一键重放；**页面内重放**（应对部分 WAF 动态页，GET）；撤销/重做；目标域名切换；**AI 生成测试用例**：按当前请求与选项让模型输出结构化用例列表，快速铺测试思路（需配置 AI）。 | | **编解码与哈希** | MD5、SM3、SHA、ROT13、Base64、URL、Hex 等；作用范围可选 **选中文本 / 仅参数值 / 整行 URL**。 | | **微型 Fuzz** | 使用 `§...§` 标记注入点；**开始 Fuzz** 与 **页面内 Fuzz**（GET）；基线对比；**AI 智能 Payload**：由模型按注入上下文生成候选 payload 列表，减少手写字典成本；可结合 Render、敏感、**AI 结果分析**视图辅助判断。 | | **暗链与静态威胁** | 对静态 HTML 等做 **规则扫描**；可配置 **高信誉顶级域** 降噪；报告可下载。可与 **AI 报文/语义解读** 配合，**批量暗链** 工作台便于对多条响应 **横向对比**，辅助梳理 **外链、第三方脚本与依赖线索**（供应链初筛场景）。 | | **AI 分析（可选）** | **单包**：对 **请求 + 响应** 做解读、异常与风险辅助说明。**批量**：勾选多条历史，独立页 **逐条高亮 + 汇总报告**，适合 **多接口、多域名** 归纳与留证。模型支持 OpenAI、DeepSeek、本地 LM Studio、**自定义 Base URL**；兼容 **OpenAI 风格** 与 **千帆代码计划等** 完整路径；数据 **只发往您配置的 Endpoint**（BYOK）。 | | **敏感信息匹配** | 内置规则（证件、手机、银行卡、邮箱、Shiro/JWT/Swagger/UEditor/Druid 等指纹、IP、域名、CTF Flag 等）+ **自定义正则**、**关键词库**；支持批量导入/导出、一键清空。 | | **批量能力** | 批量导出、删除、**批量 AI 分析**、**批量暗链检测**（独立标签页工作台）、批量重放等。 | | **国际化** | 界面 **中文 / English** 切换。 | **Chrome 与 Firefox** 在侧栏托管方式、内网/自签名 HTTPS 辅助选项、拦截时的系统提示等方面存在差异，**核心业务功能对齐**；具体差异可在安装扩展后查看内置帮助说明。 ## 四、版本说明（社区版 / 专业版） Hx0 鹰眼当前采用 **社区版 / 专业版 / 首次 30 分钟试用专业版** 的分层策略： - **社区版**：覆盖日常高频的 **抓包 → 看详情 → 普通重放 → 基础编解码** 主链路。 - **专业版**：进一步解锁 **主动控制流量、页面内重放 / Fuzz、AI、暗链、批量工作台与高级编解码**。 - **首次试用**：新安装后可先体验 **30 分钟专业版全功能**；试用结束且未激活时，会 **自动回落到社区版**。 ### 功能差异表 | 功能项 | 社区版 | 专业版 | 说明 | | --- | --- | --- | --- | | 抓包开关、目标域名 / IP、抓包类型 / 后缀 | ✅ | ✅ | 社区版即可完成基础抓包与降噪 | | 历史列表、当前页面 / 全部数据包切换、Host / 方法 / 状态码筛选 | ✅ | ✅ | 便于快速定位请求 | | Pretty / Raw / Hex / Render、复制 / 单条下载 / 标题复制 URL | ✅ | ✅ | 社区版即可完成详情审计 | | 内置敏感信息识别与聚合展示 | ✅ | ✅ | 支持内置规则命中查看 | | 普通重放 | ✅ | ✅ | 社区版保留完整基础验证闭环 | | 悬浮球、另存为新标签、语言切换 | ✅ | ✅ | 日常效率入口保留在社区版 | | **基础编解码**：MD5、SM3、SHA-1、SHA-256、ROT13、Base32 / Base64 / URL / Hex 编解码 | ✅ | ✅ | 社区版即可直接使用 | | **高级编解码**：SHA-512、HMAC-SHA256、Base64URL、Unicode、HTML、JSON、JWT、时间戳转换 | ❌ | ✅ | 面向更深的验证、签名与分析场景 | | 拦截开关、改包 / 放行 / 一键放行 / 一键丢弃 | ❌ | ✅ | 代表“主动控制流量”的专业能力 | | 页面内重放、页面内 Fuzz、微型 Fuzz、标记注入点 | ❌ | ✅ | 适合动态页、WAF 与高频参数试探 | | 切换请求方法、目标域名切换 | ❌ | ✅ | 适合多环境联调与验证 | | AI 分析设置、AI 结果分析、AI 分析、AI 生成用例 | ❌ | ✅ | AI 能力统一归于专业版 | | 暗链与静态威胁检测、报告下载、高信誉顶级域 | ❌ | ✅ | 规则扫描、报告与降噪能力 | | 全量深度搜索、自定义正则 / 关键词库 | ❌ | ✅ | 深搜与规则扩展能力 | | 批量导出、批量删除、批量重放、批量 AI 分析、批量暗链检测 | ❌ | ✅ | 批量工作台统一归于专业版 | ### 一句话理解版本边界 - **社区版负责**：看包、理解、初步验证、基础编解码。 - **专业版负责**：控制流量、页面上下文验证、变异测试、AI 分析、暗链扫描、批量产出。 - 如果你只是想先确认产品价值，社区版已经足够完成最核心的主链路。 ## 五、产品优势 1. **零代理门槛**：浏览器扩展形态，**无需单独 JVM、无需占用独立代理端口**，装完配置目标即可开抓。 2. **会话一致**：与 **当前标签页同源会话** 一致，抓到的即页面真实发出的请求，重放时 **减少「突然掉登录」** 类问题。 3. **一体化工作台**：历史、拦截、重放、编解码、微型 Fuzz、敏感、暗链、AI 在 **同一侧栏** 完成，减少多工具往返。 4. **现代前端友好**：直面 **XHR/Fetch、FormData、multipart** 等场景，可在扩展容量限制内做 **Raw / Hex** 级审计。 5. **动态页取证**：**页面内重放 / 页面内 Fuzz** 在真实 DOM 环境中加载并提取内容，辅助应对部分 **WAF 加密页 / 挑战页**。 6. **敏感与暗链内置**：列表角标 + 详情聚合 + 可导出报告，适合 **联调自查与授权范围内的初筛**。 7. **AI 能力成环**：**AI 生成测试用例**、**AI 生成 Fuzz Payload**、**单包请求/响应 AI 分析**、**批量 AI 分析**（多包汇总，便于 **供应链 / 依赖面** 类线索归纳）与 **暗链规则 + AI 解读** 可在 **同一侧栏工作流** 内完成，少切工具。 8. **AI 可控（BYOK）**：自带模型与 Endpoint 配置，**数据只发往您填写的 API**，便于 DeepSeek、硅基流动、千帆等云端或 **内网 / 私有化** 模型。 9. **轻量资源占用**：随浏览器进程运行，相对独立代理 + 重型客户端更轻。 ## 六、与市面上主流工具对比 下表从形态、会话、工作流与专项能力等维度对比 **Hx0 鹰眼**、**Burp Suite**、**Yakit**、**HackBar / 简易扩展类**。**企业级深度漏扫、复杂 Intruder 模板、非浏览器全流量** 仍以专业平台为准，可与本产品 **组合使用**。 | 维度 | **Hx0 鹰眼** | **Burp Suite** | **Yakit** | **HackBar / 简易扩展类** | | --- | --- | --- | --- | --- | | **形态与部署** | 浏览器扩展；侧栏为 **主工作台**；可选悬浮球；**无 JVM、无单独代理端口** | 独立 Java 代理 + 浏览器证书；套件化、重量级 | 独立客户端 + 引擎/插件生态；偏安全平台 | 多为地址栏旁小面板或单条请求工具 | | **上手与日常成本** | **装完即用**，不强制改系统代理；中英界面，流程在侧栏串联 | 需配代理、信任根证书、熟悉 Proxy/Repeater 等 | 需单独安装与熟悉工作流/流水线 | 上手快，能力点分散、缺「项目级」工作区 | | **浏览器会话 / 登录态** | 与 **当前标签同源** 一致；重放时 **少出现掉登录断层** | 经代理；部分站点需额外处理 Cookie，常要手工同步到 Repeater | 多经代理或引擎，路径与纯扩展不同 | 常靠手工拼 Header/Cookie | | **现代前端 API（XHR/Fetch/SPA）** | 主世界劫持 fetch/XHR；支持 **multipart Raw/Hex** 审计（容量限制内） | 代理层全量可见，能力上限高 | 流量与插件可覆盖复杂场景 | 多数无持久历史、无 Hex/敏感聚合 | | **历史、检索与工作台** | **IndexedDB 持久历史**；多维筛选；详情/重放/Fuzz/AI **同侧栏** | Proxy History 极强；与浏览器、IDE 切换多 | 平台化记录与协作强 | 通常 **无历史或极弱** | | **系统代理 / 非浏览器流量** | 聚焦 **浏览器内** HTTP(S) | 强 | 强 | 弱 | | **拦截与改包** | 队列式拦截；侧栏逐条或批量处理 | Proxy 拦截，行业事实标准 | 支持 MITM / 工作流编排 | 多数无或仅能改 URL 片段 | | **重放 / Fuzz** | 重放台 + **微型 Fuzz** + **页面内重放/Fuzz（GET）** | Repeater / Intruder 成熟 | Web Fuzzer 等模块 | 通常无并发 Fuzz、无结构化对比 | | **敏感 / 暗链 / 报告** | **内置规则 + 角标 + 详情聚合**；可导出 | Scanner、BApp 强；需许可与配置 | 插件与 PoC 丰富 | 极少内置 | | **AI 辅助** | **BYO API**，数据走向 **自控** | 多依赖第三方扩展或自建 | 持续扩展中 | 少见 | | **主动扫描 / 大型自动化** | 非主战场；偏 **人工高频闭环** | Scanner、宏、插件生态 | PoC、批量检测、协作流 | 基本不具备 | | **资源占用** | 随浏览器，**轻量** | 代理 + JVM，通常更高 | 视场景而定 | 极低，但能力面窄 | **协作建议**：Hx0 鹰眼适合作为日常 **浏览器内主工作台**；需要全站主动扫描、超大规模字典、非浏览器客户端流量时，**叠加 Burp / Yakit** 形成「侧栏快循环 + 平台深挖掘」。 ## 七、离线安装（正式版） 本工具涉及底层网络抓包与安全分析权限，**未在 Chrome / Firefox 官方插件商店上架**。请从本仓库 **Releases** 页面（或 README / 发行说明中提供的网盘、附件等渠道）下载 **正式版** 安装包，并按您日常使用的浏览器参考下方说明进行 **离线安装**。 ### 📊 浏览器兼容性与推荐安装方式总览 | **浏览器类型** | **推荐安装方式** | **优点 (Pros)** | **缺点 / 注意事项 (Cons)** | | --- | --- | --- | --- | | ⭐⭐⭐⭐⭐ **Microsoft Edge** | **直接拖拽**`.crx` | 安装极简，永久生效，无烦人的安全弹窗 | 需在扩展页面先开启「开发人员模式」 | | ⭐⭐⭐⭐⭐ **360 极速 / QQ / 搜狗** | **直接拖拽**`.crx` | 最简单、最友好，兼容好，一般无拦截和弹窗 | 无明显缺点；国内浏览器环境对第三方插件相对友好 | | ⭐⭐⭐⭐ **Google Chrome** | 加载解压后的**文件夹** | 安装后永久有效，重启不丢失 | **不能删除**该解压文件夹；部分版本每次启动可能有「停用开发者模式扩展」提示（关掉即可） | | ⭐⭐⭐ **Firefox（开发者版 / ESR）** | 安装 `.xpi` 文件 | 永久生效，体验接近官方商店安装 | 需使用特定版本火狐，并修改 `about:config` 底层配置 | | ⭐⭐ **Firefox（普通正式版）** | **临时加载文件夹** | 支持各版本火狐，无需改高级配置 | **每次重启浏览器后扩展会消失**，需重新加载；适合一次性调试 | ### 🚀 详细安装步骤 #### 1. ⭐⭐⭐⭐⭐ 最推荐 · Microsoft Edge / 360 极速 / QQ / 搜狗浏览器 这些浏览器对本地插件策略较友好，可直接使用 `.crx` 安装，重启后一般 **不会丢失**，弹窗干扰也较少。 1. 打开扩展管理页面： - **Edge**：`edge://extensions/` - **360 极速**：`chrome://extensions/` - **QQ 浏览器**：`qqbrowser://extensions/` - **搜狗浏览器**：`se://extensions/` 2. **务必**开启 **「开发者模式」**（Edge 为「开发人员模式」，多在页面左下角或右上角）。 3. 将下载好的 `Hx0-HawkEye-Chrome-V1.0.0-Official Release.crx` **拖拽**到该扩展管理页面中。 4. 在弹出提示中选择「添加扩展 / 添加插件」，完成安装。  #### 2. ⭐⭐⭐⭐ · Google Chrome Chrome 对非商店 `.crx` 限制严格（易被禁用），建议 **解压文件夹 + 加载已解压的扩展程序**。 1. 将下载的压缩包解压，得到 `Hx0-HawkEye-Chrome-V1.0.0-Official Release` 文件夹，放到 **固定路径**（如 `D:\Tools\Hx0-Extension\`），**勿随意删除**。 2. 地址栏打开 `chrome://extensions/`。 3. 开启右上角 **「开发者模式」**。 4. 点击 **「加载已解压的扩展程序」**，选中上述文件夹 → 「选择文件夹」。 5. 可将扩展固定到工具栏。若启动时提示「请停用以开发者模式运行的扩展」，**关闭提示即可**，一般不影响抓包使用。  #### 3. ⭐⭐⭐ / ⭐⭐ · Mozilla Firefox 火狐对未签名扩展有策略限制；需要 **永久安装** 时建议使用 **Firefox Developer Edition** 或 **ESR**。 **方案 A：** ⭐⭐⭐ **永久安装（开发者版 / ESR）** 1. 地址栏打开 `about:config`，接受风险。 2. 搜索 `xpinstall.signatures.required`，双击改为 `false`（关闭签名强制验证）。  3. 打开 `about:addons` →「扩展」。 4. 右上角 **齿轮** **⚙** → **「从文件安装附加组件…」**。 5. 选择 `Hx0-HawkEye-Firefox-V1.0.0-Official Release.xpi` 并确认添加。  **方案 B：****⭐⭐**** 临时加载（任意 Firefox 版本，重启失效）** 1. 每次启动 Firefox 后打开 `about:debugging`。 2. 左侧 **「此 Firefox」** → **「临时载入附加组件…」**。 3. 进入解压后的 `Hx0-HawkEye-Firefox-V1.0.0-Official Release` 文件夹，选中 `manifest.json` 打开。 4. 关闭浏览器后需 **重新执行本流程**。  ### 安装后常用入口 + **扩展图标弹窗**：抓包/拦截开关、目标与类型、打开抓包界面（侧栏） + **侧边栏**：历史、拦截、重放工作台 + **选项页**：语言、AI、Payload 编码、敏感规则、暗链等（Chrome 也可从 `chrome://extensions` → 本扩展「详细信息」→「扩展程序选项」进入） ## 八、用户手册 安装扩展后，在 **产品内** 打开《用户手册》即可查看完整使用教程，包括 **Chrome / Firefox 差异说明**、**常见问题**、**授权说明** 等（入口以当前版本界面为准）。 ## 九、安全与合规 + 请 **仅在取得授权的系统** 上使用抓包、拦截、重放与 Fuzz 功能。 + 启用 **AI 分析** 时，报文可能上传至您配置的第三方或内网模型服务，请 **脱敏** 并评估数据出境与合规要求。 + **Render** 等能力请在可信环境中使用；即使采用沙箱策略，仍需谨慎对待不可信响应内容。 + 商业场景请遵守产品 **许可与授权** 约定（以软件内说明为准）。 ## 十、如何获取激活码 新用户可先免费体验 **30 分钟专业版全功能**。试用结束后若未激活，将自动回落到社区版；如果体验满意，欢迎通过以下方式获取专业版激活码： + **途径一：** 上【闲鱼】购买激活码： 1. [购买链接1](https://m.tb.cn/h.igkesa4?tk=dNrvUzjjrXt) 2. [购买链接2](https://m.tb.cn/h.ihX27bl?tk=Qfan5Zb5B82) + **途径二：** 加入【Hx0战队】知识星球，前100名可获取一年免费授权激活码（前10名可获得永久授权），星球其他成员可享8折购买。 ## 十一、联系与反馈 **Hx0战队** + 微信公众号 / 知识星球：**Hx0战队** + 邮箱：[hx0studio@foxmail.com](mailto:hx0studio@foxmail.com) 反馈请尽量附带：浏览器类型与版本、扩展版本、复现步骤与截图。 ## 十二、免责声明 本项目及扩展 **仅供安全研究、研发联调与授权测试**。使用者应遵守所在地法律法规及目标系统授权范围。 对任何 **未授权测试** 及其后果，开发者与贡献者 **不承担任何责任**。

标签：AI辅助分析, API调试, Burp Suite替代, Chromium, Fetch, Firefox扩展, LLM应用, Web安全, XHR, 同源会话, 威胁情报, 安全分析工具, 对抗攻击, 开发者工具, 微型Fuzz, 抓包与修改, 插件, 敏感信息检测, 数据可视化, 暗链检测, 流量抓包, 流量拦截, 浏览器扩展, 网络安全, 蓝队分析, 请求重放, 防御绕过, 隐私保护, 零代理