「Lemon」と呼ばれるクロスサイトスクリプティングの脆弱性発見用ツールをGoogleが社内で開発したそうです
Google, XSSの脆弱性診断ツールを開発 - ITmedia Automating web application security testing - Google Online Security Blog
しかし、残念ながら公開はしていないし、する予定もないそうな