Antigravity x Burp MCP

Penasaran Aja Sih

Belakangan ini banyak banget liat tutorial orang-orang integrasiin Burp Suite sama AI lewat MCP - ada yang pakai GitHub Copilot di VSCode, ada yang pakai Claude Desktop. Ngeliat itu jadi penasaran: gimana kalau dicoba pakai Google Antigravity?
Nah, karena Antigravity support MCP, otomatis bisa dihubungin ke Burp Suite. Jadinya kita bisa "ngobrol" langsung sama Burp dari IDE - minta analisis traffic, parsing JavaScript buat cari endpoint, bikin repeater tab, sampai nyusun test plan. Semua lewat prompt biasa.

Setup & Demo

1. Install MCP Server di Burp Suite

Buka Burp Suite → Extensions → BApp Store → cari "MCP Server" → klik Install. Setelah itu masuk ke tab MCP, pastikan MCP Server-nya udah enabled.

2. Extract Server Proxy JAR

Masih di tab MCP, scroll ke bawah ke bagian Installation → klik Extract server proxy jar → simpan file JAR-nya ke lokasi yang gampang diakses. File ini yang bakal dipake Antigravity buat connect ke Burp.

3. Konfigurasi MCP di Antigravity

Buka Antigravity → klik menu ... (titik tiga) di Agent pane → MCP Servers → Manage MCP Servers → klik View raw config. Tambahin ini di mcp_config.json:

{
  "mcpServers": {
    "burp": {
      "command": "",
      "args": [
        "-jar",
        "/path/to/mcp-proxy-all.jar",
        "--sse-url",
        "http://127.0.0.1:9876"
      ]
    }
  }
}

Ganti sama path Java di sistem kamu, dan /path/to/mcp-proxy-all.jar sama lokasi file JAR yang tadi di-extract. Save, refresh, done.

4. Coba

Buka chat Agent di Antigravity, terus coba prompt simpel:

Soal Pilihan Model

Satu hal yang perlu dicatat: pilihan AI model itu selera masing-masing. Setiap provider punya kelebihan dan kekurangan sendiri, baik dari sisi kemampuan model maupun harga yang ditawarkan. Ada yang cocok pakai Claude, ada yang prefer Copilot, ada yang mau coba Gemini lewat Antigravity — semua valid. Sesuaikan aja sama kebutuhan dan budget kamu.

Catatan Penting

Ini menurut saya pribadi ya:

Lebih cocok buat bug bounty daripada pentest karena target publik.
Selesai testing? Reset credential. Password, session token, API key apapun yang sempat lewat di traffic Burp.
Karena apapun yang kamu kirim ke AI itu diproses di cloud, meskipun provider bilang nggak dipakai buat training, anggap aja bisa di-log atau di-crawl.
Atau, kalau mau lebih aman, pertimbangkan pakai LLM lokal, data nggak kemana-mana. Trade-off-nya ya di kemampuan model yang biasanya belum sekuat cloud-based.

AI itu cuma bantu percepat kerja, tapi keputusan dan eksekusi tetap di tangan kamu sebagai pentester.

Gunakan dengan bijak. Happy hunting!