RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

2025年RSA大会:10大AI安全工具,开启智能防御新时代

在刚刚过去的RSA大会上,AI安全领域迎来了井喷式的发展。从SIEM(安全信息与事件管理)、SOAR(安全编排自动化与响应)、ITDR(身份威胁检测与响应)到DSPM(数据安全态势管理)、红队测试和防...

  • 0
  • 0
  • Halo咯咯
  • 发布于 2025-06-03 09:56:30
  • 阅读 ( 5881 )

基于嵌入扰动的大模型白盒越狱攻击

大模型(以下均用LLMs指代)发展迅速,但引发了大家对其潜在滥用的担忧。虽然模型开发者进行了大量安全对齐工作,以防止 LLMs 被用于有害活动,但这些努力可被多种攻击方法破解,典型的就是在社区里多篇文章中一直在强调的越狱攻击。这些攻击方法能找出安全对齐技术的漏洞,促使开发者及时修复,降低 LLMs 带来的安全风险

  • 0
  • 0
  • elwood1916
  • 发布于 2025-04-24 09:39:13
  • 阅读 ( 5827 )

langflow: AI产品AST代码解析执行产生的RCE

本文主要是对langflow这一AI产品进行了漏洞分析,同时通过阅读官方文档的方式对漏洞的利用方式进行了进一步的扩展利用,剖析在AST解析执行的过程中因为`decorator`或者参数注入的方式导致的RCE漏洞的姿势,后续也将其添加到codeql规则中,进行AI产品代码的批量检测与漏洞挖掘

  • 3
  • 1
  • leeh
  • 发布于 2025-05-22 09:00:02
  • 阅读 ( 5749 )

大模型安全风险概览

理解大模型安全的全景视图 要真正掌握大模型安全,我们首先需要建立一个全景式的认知框架就像建筑师在设计摩天大楼时必须考虑地基、结构、电梯系统和消防安全一样,大模型的安全也需要从生命周...

  • 0
  • 0
  • 洺熙
  • 发布于 2025-07-04 16:14:55
  • 阅读 ( 5583 )

LLM如何安全对齐(基础篇)

AI对齐旨在确保AI系统,其能力与行为同人类的价值观,意图及伦理规范保持一致 本文将系统性梳理AI对齐的基础原则,剖析理论与算法的挑战 1.模型固有的逆向对齐趋势 2.人类偏好非传递性导致的收敛困境 3.安全保障的系统性复杂性

  • 0
  • 0
  • 洺熙
  • 发布于 2025-08-21 09:00:03
  • 阅读 ( 5495 )

基于强化学习生成恶意攻击xss

本文提出了一种基于DQN强化学习的XSS载荷自动生成方法,通过神经网络替代Q表格,结合经验回放和目标网络优化训练。系统包含特征提取(257维向量)、WAF检测(正则规则)和免杀变形(6种字符级操作)三大模块,在Gym框架下实现智能体与WAF的对抗训练。实验表明,经过100轮训练后,智能体可生成有效绕过WAF的XSS载荷,为AI驱动的Web安全测试提供了新思路。

  • 4
  • 3
  • 1gniT42e
  • 发布于 2025-05-21 09:00:00
  • 阅读 ( 5294 )

LLM 时代下的 SAST :Corgea 方案解读

本文解读了国外公司Corgea提出的结合LLM(大型语言模型)和SAST(静态应用安全测试)的创新解决方案——BLAST(业务逻辑应用安全测试)。其通过CodeIQ语义理解引擎结合AST(抽象语法树)技术,增强传统SAST的检测能力。BLAST能够处理特殊框架行为、减少误报,并通过语义理解检测业务逻辑漏洞。

  • 1
  • 1
  • wh4am1
  • 发布于 2025-05-20 09:00:00
  • 阅读 ( 5238 )

LLM安全基础与各厂商安全策略设计

LLM安全基础 在深入探讨大语言模型(LLM)的安全风险与防护策略之前,建立一个清晰、坚实的基础认知至关重要。这不仅是为了确保后续讨论的有效性,更是因为对核心术语、基本原则及其内在逻辑的...

  • 1
  • 0
  • 洺熙
  • 发布于 2025-07-04 16:14:51
  • 阅读 ( 5127 )

RAG架构大揭秘:三种方式让AI回答更精准,更懂你!

在人工智能飞速发展的今天,我们已经习惯了与各种智能系统打交道,从聊天机器人到智能搜索引擎,它们似乎无处不在。但你有没有想过,这些系统是如何真正理解我们的需求,并给出准确回答的呢?今天,就让我们一起深入探索一下前沿的RAG(Retrieval-Augmented Generation,检索增强生成)技术,看看它如何让AI变得更“聪明”。

  • 0
  • 0
  • Halo咯咯
  • 发布于 2025-04-16 09:47:06
  • 阅读 ( 5072 )

大模型应用提示词重构攻击

前言 用大模型LLM做安全业务的师傅们一定知道,提示词对于大模型在下游任务的表现的影响是很重要的。 因为大模型本质上是条件概率建模器,其输出严格依赖于输入上下文。在无监督预训练之后,这...

  • 0
  • 1
  • elwood1916
  • 发布于 2025-06-03 10:00:02
  • 阅读 ( 5018 )

基于影子栈的大模型系统防御技术

在传统系统安全中有一个典型的技术—影子栈(shadow stacks),它可以防御内存溢出攻击。那么类似于影子栈创建一个影子内存空间,如果可以正常栈中建立与目标LLM实例(LLMtarget)并行的影子LLM防御实例(LLMdefense),那理论上就是可以实现防御的

  • 0
  • 0
  • elwood1916
  • 发布于 2025-05-09 09:40:07
  • 阅读 ( 5004 )

破译之眼:AI重构前端渗透对抗新范式

利用AI一键对抗前端js的可用解决方案,省去以往调试时间,高效对抗js加密或sign校验等

【补天白帽黑客城市沙龙-西安站】AIGC安全实践 –– AI Red Teaming

演讲议题:AIGC安全实践 –– AI Red Teaming

基于条件干预的大模型推理时防御

之前很多研究工作已经表明,大语言模型(LLMs)的一个显著特点是它们能够通过激活中的丰富表示来处理高级概念。这一特性也使得在去年NeurIPS(人工智能顶会)上出现了很多与激活引导(activation steering)等技术的有关的工作

  • 0
  • 0
  • elwood1916
  • 发布于 2025-06-05 09:00:00
  • 阅读 ( 4631 )

【补天白帽黑客城市沙龙-杭州站】如何训练AI帮我调漏洞

本议题将探讨如何结合大模型与MCP技术,实现对程序的静态分析、动态调试。基于这些技术,可以让AI参与漏洞研究,提升漏洞挖掘效率,并配合实际案例,展示AI在漏洞方面的工作能力。

MCP安全协议:从攻击手法到最佳实践,全景解析

在大模型和智能应用快速发展的今天,Model Context Protocol(MCP)逐渐成为连接模型与外部服务的重要标准。它让开发者可以更方便地调用第三方 API,为模型提供更多上下文能力。但与此同时,安...

  • 1
  • 0
  • Halo咯咯
  • 发布于 2025-10-11 09:57:18
  • 阅读 ( 4598 )

基于注意力操纵的AIGC版权风险规避技术

扩散模型的背后一个很核心的风险就是未授权数据集使用的问题。当然,这种侵权分为两种,一种是使用文生图模型得到的图像,其版权归属问题,比如之前的新闻提到,北京互联网法院全国首例“AI文生图”著作权侵权案获最高法院“两会”工作报告关注

  • 1
  • 0
  • elwood1916
  • 发布于 2025-05-26 09:00:02
  • 阅读 ( 4587 )

基于树模型对恶意代码的静态分析方法

你将学到什么?​​ ✅ ​​决策树的数学基础​​:信息增益 vs. 基尼系数 vs. 增益率,如何影响模型表现? ✅ ​​Bagging vs. Boosting​​:为什么随机森林能并行,而XGBoost必须串行训练? ✅ ​​XGBoost的工程优化​​:二阶泰勒展开、正则化、特征重要性如何让预测更精准? ✅ ​​AST(抽象语法树)实战​​:如何把PHP代码转换成机器学习可用的数值特征? ✅ ​​调参技巧与评估指标​​:如何用网格搜索和Fβ分数平衡准确率与召回率?

  • 0
  • 1
  • 1gniT42e
  • 发布于 2025-04-30 09:01:48
  • 阅读 ( 4495 )

LLM概述与全景解析

LLM概述与全景 1 什么是 LLM? LLM是基于深度神经网络架构的预测模型。在通过在海量的语料库上进行大规模训练,学习并内化语言的统计规律,语义关联及上下文依赖, 训练目标通常是预测序列中的下...

  • 0
  • 0
  • 洺熙
  • 发布于 2025-07-04 16:14:46
  • 阅读 ( 4354 )

【补天白帽黑客城市沙龙-杭州站】让安全大模型不做花瓶

本议题聚焦于面向复杂场景的模型训练与架构设计,提出多种解决方案提升模型在网络安全场景下的理解与推理能力。在此方案下的实验中,体现了自动渗透、自动修复、自动信息收集、自动打靶、参与CTF竞赛等通用能力,初步具备无需人工干预的通用执行能力。