Document My Pentest：ハックはあなた、レポートはAIが書く——Burp拡張で監査証跡を自動化する発想

本記事は、PortSwigger Researchが公開した「Document My Pentest: you hack, the AI writes it up!」を元ソースとして、その内容と周辺の公式ドキュメント（Burp AI、AIによる課題探索、AI拡張のベストプラクティス、カスタムアクションでのAI機能開発）および当事者に近い発信を手がかりに、何が新しく、どこに実務的な価値があるのかを整理します。

概要

ペンテストやWebセキュリティ診断では、技術的な検証そのものだけでなく、再現手順・影響範囲・証拠（リクエスト/レスポンスや画面キャプチャ等）・推奨対策といった「監査証跡（audit trail）」を、後から読める形に整える作業が大きな比重を占めます。元ソースの記事は、そうした“同じ説明の繰り返し”や“書く作業の手間”に焦点を当て、Burp Suiteの新しいAI拡張として「Document My Pentest」を紹介しています。

紹介文脈から読み取れる中心的なアイデアはシンプルです。テスターは探索や検証など「楽しい部分」に集中し、メモやレポートのような“退屈だが欠かせない部分”をAIに寄せる——つまり、診断活動の記録と報告のワークフローを自動化・省力化する方向性です。LinkedIn上の当事者発信でも、同拡張はAIを使ってノートとレポート作成を扱い、作業の焦点を診断へ戻すものとして紹介されています。

詳細

この拡張が示すのは、AIを「脆弱性を見つける魔法の箱」として誇張するよりも、実務のボトルネックになりがちな“文章化・整理・説明”に適用する、という現実的な使い方です。診断業務では、発見（Finding）から納品（Deliverable）までの間に、観察した事実を整合的に記録し、読み手に伝わる形へ変換する工程が挟まります。そこが属人化しやすい一方で、繰り返しも多い領域です。元ソースが掲げる「you hack, the AI writes it up!」というメッセージは、まさにこの変換工程にAIを当てる設計思想を端的に表しています。

一方でPortSwiggerは、製品全体としても「Burp Suiteには、セキュリティテストのワークフローを強化し、より効率的に脆弱性を見つけることを助けるAI搭載機能が含まれる」と説明しています。つまり「Document My Pentest」は単発の話題というより、Burp AIという枠組みの中で、診断フローを補助するAI機能群が拡充していく流れの一部として理解できます。

具体的な周辺機能として、PortSwiggerのドキュメントには「Explore Issue」という“AI搭載のペンテスト支援（assistant）”機能が説明されています。ここで重要なのは、AIが単に要約するだけでなく、課題（issue）を起点に調査・理解を支援する方向へUI/体験が寄せられている点です。診断中に発生する「この挙動は何が原因で、どう説明できるか」「再現と影響をどう切り分けるか」といった問いに対し、AIを探索の伴走役として組み込む設計が見えます。レポーティング自動化の拡張と、課題探索を助ける機能が並走することで、発見から説明までの距離を縮める狙いが感じられます。

また、AIをBurpの拡張として組み込む開発者向けの視点も公式に整えられています。AI拡張の作り方に関する「ベストプラクティス」や、Bambdas（カスタムアクション）におけるAI機能開発のドキュメントでは、AIを使ってリクエスト/レスポンスを分析して脆弱性の手がかりを得たり、文脈に応じたペイロード生成を行ったりといった例が示されています。これは「AIで何でも自動化する」のではなく、Burpのワークフロー上で、どの入力をどう扱い、どんな出力をユーザーの意思決定に返すか——という“組み込み方”を、実装・運用の観点で検討できる材料が提供されていることを意味します。

最後に、運用面の含意も押さえておく必要があります。ペンテストの“書き起こし”をAIに任せるほど、取り扱う情報には機微な内容（アプリ内部の挙動、検証中に得た証拠、診断対象固有の文脈）が混ざり得ます。だからこそ、公式ドキュメントとしてAI機能やAI拡張のガイダンスが用意され、AIを使った支援機能（Explore Issue）も製品体験に統合されている点は重要です。実務導入では、どの作業をAIに委ね、どの最終判断を人が担保し、どのアウトプットを成果物として採用するのかを、ツールの設計思想とガイドラインに沿って決めていくことが、結局のところ品質と再現性を左右します。