JADX-AI-MCP — это AI-плагин для декомпилятора JADX, который обеспечивает прямую интеграцию между LLM-моделями и процессом реверс-инжиниринга Android-приложений в реальном времени. Он позволяет AI-ассистентам читать декомпилированный Java-код, искать уязвимости, переименовывать классы и методы, анализировать манифест и даже управлять отладчиком JADX — и все это через естественно-языковые команды без написания скриптов.
Ключевые особенности:
Прямой доступ к декомпилированному коду: AI-агент может получить исходный код выделенного класса, найти все классы проекта, искать методы по имени или ключевым словам и читать smali-представление — все через MCP-инструменты, работающие с живым проектом JADX.
Интеллектуальный поиск и навигация по коду: Поддерживает поиск классов по ключевым словам в исходном коде (с пагинацией), поиск методов по имени, получение перекрестных ссылок на классы, методы и поля, а также извлечение списка методов и полей конкретного класса для быстрой навигации.
Автоматическое переименование и рефакторинг: Предоставляет AI возможность переименовывать классы, методы, поля, пакеты и даже локальные переменные внутри методов прямо через MCP-инструменты, ускоряя деобфускацию и документирование кода.
Статический анализ безопасности (SAST) через диалог: AI по одной команде анализирует выделенный класс на наличие небезопасных API-вызовов, жестко закодированных секретов, утечек PII и других уязвимостей, подсвечивая риски и предлагая рекомендации.
Интеграция с отладчиком JADX: AI-агент может получать стек-трейсы, список потоков и значения переменных из сессии отладки, а затем объяснять поток выполнения приложения или оценивать угрозы безопасности на основе реального состояния программы.
Гибкое развертывание с HTTP и stdio: Поддерживает как локальный stdio-режим, так и HTTP-транспорт для удаленного подключения, включая сценарии с JADX-GUI на одной машине и AI-клиентом на другой, с детальной настройкой хостов и портов.
Для кого: Ориентирован на Android-пентестеров, исследователей безопасности мобильных приложений, реверс-инженеров, баг-хантеров и разработчиков, анализирующих вредоносное ПО, которые хотят радикально ускорить анализ декомпилированных APK-файлов, делегируя рутинную навигацию, поиск паттернов и аннотирование кода AI-ассистенту.
Сценарии использования:
Экспресс-анализ вредоносного APK: Аналитик открывает подозрительное приложение в JADX, просит AI найти все классы, связанные с шифрованием, и объяснить логику обфускации — и получает готовый разбор за секунды вместо часов ручного изучения.
Деобфускация и документирование: AI получает задание “переименуй все методы в осмысленные имена на основе их поведения” и массово применяет рефакторинг к выделенному модулю, генерируя читаемый код.
Поиск уязвимостей в автоматическом режиме: Пентестер просит AI проверить класс на наличие небезопасного использования WebView, экспортированных компонентов или жестко закодированных API-ключей, и AI возвращает отчет с указанием конкретных строк и методов.
Динамический анализ с отладчиком: Во время отладки приложения AI по запросу анализирует текущий стек вызовов и значения переменных, выявляя аномалии в потоке выполнения или потенциальные точки эксплуатации.
Изучение архитектуры приложения: AI извлекает Main Activity из манифеста, строит карту связей между классами через перекрестные ссылки и предоставляет аналитику полную картину взаимодействия компонентов.
Цены и доступность: Плагин и MCP-сервер являются полностью бесплатными open-source проектами под лицензией Apache 2.0. Установка выполняется одной командой через jadx plugins —install или скачиванием JAR-файла и Python-сервера с GitHub Releases. Работает с любыми MCP-совместимыми клиентами, включая Claude Desktop, LM Studio и Cherry Studio. Никаких платных тарифов не предусмотрено.
