← Back to index
2026/4/12

Shadow Repeaterとは?AIで「手動テストの詰め」を強化するBurp拡張の要点

PortSwiggerが公開した「Shadow Repeater」は、Burp Repeaterでの手動検証にAI支援を重ね、判断ミスや一手の選択違いで取り逃しがちな脆弱性の発見・深掘りを助ける取り組みです。本記事では、公式情報と関連ドキュメント/拡張ページ/デモ動画をもとに、狙いと使いどころを日本語で整理します。

Burp SuiteWeb SecurityペンテストManual TestingAIPortSwigger

本記事の元ソースは、PortSwigger Researchによる「Shadow Repeater: AI-enhanced manual testing」です。以下、補足は提示された researchContext の範囲(PortSwigger公式ページ/公式ドキュメント/関連Research記事/YouTubeデモ)に限定してまとめます。

概要

Shadow Repeaterは、Burp Suiteの代表的な手動テスト機能であるRepeaterのワークフローに、AIの支援を組み合わせて「もう一歩踏み込む」作業を後押しするための拡張(Extension)です。手動テストでは、同じ観察結果でも「次にどの入力を変えるか」「防御(WAFなど)をどう迂回するか」「どのパラメータ/ヘッダ/コンテキストを疑うべきか」といった選択が連鎖します。元ソースは、そうした“紙一重の選択ミス”によって見逃してきた脆弱性がどれほどあったか、という問題意識から出発しています。

Repeaterは、スキャナが報告した兆候の再現確認や、挙動の差分を見ながらの仮説検証を得意とするツールです。PortSwiggerのRepeaterドキュメントでも、手動での検証(Manually verify)を主用途として位置づけつつ、AI-powered promptsを使って挙動調査やセキュリティ観点の探索を支援できる旨が示されています。Shadow Repeaterは、この「AI支援を使う」方向性を、より実践的な“手動テストの反復”に寄せて強化するものだと整理できます。

詳細

Shadow Repeaterの価値は、単に文章でヒントを出すことではなく、手動テストのリズム(観察→仮説→リクエスト改変→再送→比較)を崩さずに、次の一手の候補を増やす点にあります。たとえば、同じエラーや同じレスポンスに見えても、入力の表現(エンコード、区切り、空白、引用符、テンプレート構文の揺らぎ)や送信位置(ボディ、クエリ、ヘッダ、Cookie)を変えると結果が動くことがあります。こうした分岐は経験則が物を言う一方で、時間制約の中では探索が浅くなりがちです。Shadow Repeaterは、そうした探索の「抜け」を埋める発想として理解できます。

また、PortSwiggerはRepeater内のAI機能(Burp AI)についても公式ドキュメントで案内しており、Repeaterの画面上でAIを使ったプロンプトベースの支援ができることを明確にしています。Shadow Repeaterは拡張として提供されているため、標準機能の“AI支援”とは別レイヤで、より特定の検証手順やユースケースに寄った振る舞い(手動テストの加速)を狙っている可能性があります。ここで重要なのは、AIが自動で全探索してくれるというより、テスターが握っているコンテキスト(観測したレスポンス、狙っているクラスの脆弱性、システムの防御の癖)を保ったまま、次の検証案を生みやすくする補助線として使える点です。

関連するPortSwigger Researchとして、2025年7月15日(UTC)公開の「Repeater Strike: manual testing, amplified」も挙げられます。タイトルが示す通り、Repeaterを中心に手動テストを増幅させるアプローチが継続的に強化されている流れが読み取れます。Shadow Repeaterは、その延長線上で“AI”を前面に出し、手動テストの意思決定コストを下げる方向のアップデートとして捉えると腹落ちしやすいでしょう。

具体的な動作イメージについては、YouTube上のデモ(Shadow Repeater extensionを使ってSSTIの発見を支援する内容)が参考になります。説明文では、Burp Repeater内での手動テストを補強し、WAFなどの防御の迂回(bypass)を短時間で見つける助けになる旨が触れられています。もちろん、どのケースでも同じ成果が出るわけではありませんが、少なくとも「手動で試すべき候補の生成」や「行き詰まりからの打開」という局面で、AI支援の効果が出やすいタイプの題材だといえます。

運用面では、導入経路としてPortSwiggerのBApp Store(拡張配布)にShadow Repeaterのページが用意されているため、チーム内の標準手順(どの環境で、どのプロジェクトで、どの程度AI支援を許容するか)と併せて検討するのが現実的です。手動テストは対象アプリや契約条件、検証環境によって許容範囲が異なるため、AI支援を使う場合も「入力データの扱い」「ログ/記録の残し方」「再現性の担保」を意識し、最終的な判断と再現確認はRepeaterの基本動作(送って、観察して、差分を見る)に立ち返ることが重要です。

出典

関連記事

2026/4/12

SignSaboteur登場:署名付きWebトークンを“作って試す”作業を素早く回すために

PortSwigger Researchが公開したBurp Suite拡張「SignSaboteur」は、署名付きWebトークンの編集・署名・検証・攻撃(テスト)を支援するツールとして紹介されている。JWTに代表される署名付きトークンはWebの認証・認可で広く使われる一方、実装や検証の手間がかかりやすい。本記事では、元ソースの内容を軸に、何が便利になり得るのか、セキュリティ検証の観点でどこに注意すべきかを整理する。