RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

【2025补天白帽黑客盛典】大模型时代的移动端攻防:基于LLM的App漏洞挖掘

本议题将分享一种基于LLM Agent的App漏洞挖掘。通过引入MCP方式,结合精细化的Prompt工程与工作流编排,将复杂的挖洞过程拆解为可控的原子任务。将展示如何使用LLM强大的代码审计能力,实现对App隐蔽漏洞的高效、精准捕获。

深度实例分析:攻防视角下的AI框架组件中的注入漏洞

在从事了一段时间对AI框架组件的安全审计研究后,也挖掘到了很多相似的注入漏洞,对于目前的AI框架组件(PandasAI,LlamaIndx,Langchain...)对于该类型漏洞的通病结合实战实例以及学术界的研究做了系统性的归纳,站在AI框架的顶层角度对该类AI框架组件中的注入漏洞进行研究分析,供师傅们交流指点...

  • 1
  • 0
  • Bear001
  • 发布于 2026-01-14 09:47:32
  • 阅读 ( 2393 )

从某BAT大厂开源框架实战审计揭秘 LLM 集成框架中的隐蔽加载漏洞

最近在研究LLM集成应用框架时,在审计某BAT大厂的github18k大型开源LLM集成应用框架项目时发现了一处隐蔽的加载漏洞,虽然开发者打过了防御补丁,但仍然可进行绕过并已提交CVE。遂深入进行了该类型的漏洞在LLM集成应用框架中的探究,供师傅们交流指点...

  • 1
  • 0
  • Bear001
  • 发布于 2026-01-08 09:00:02
  • 阅读 ( 3411 )

还能这样对大模型输入投毒

对protswigger的第三个大模型prompt注入靶场进行实战记录

DeepTective: 基于混合图神经网络的自动化漏洞挖掘框架

PHP在Web应用中的普遍漏洞以及开发者、安全公司和白帽黑客为解决这些问题所做的努力。传统的静态、流和污点分析方法在性能上存在局限性,数据挖掘方法常受到误报/漏报的困扰,而近期基于深度学习的模型(主要是基于LSTM)并不天生适合程序语义等图结构数据。DeepTective是一种基于深度学习的PHP源代码漏洞检测方法,其核心创新在于采用混合架构,结合门控循环单元(GRU)处理代码令牌的线性序列(语法信息),以及图卷积网络(GCN)处理控制流图(CFG)(语义和上下文信息)

  • 0
  • 0
  • Bear001
  • 发布于 2025-10-23 09:47:12
  • 阅读 ( 2446 )

RealVul: 基于大语言模型训练微调的PHP漏洞检测框架深度解析

LLM赋能安全领域前沿研究“甚少”,在研究该领域的前沿论文科研时发现了一个很开创性的漏洞检测框架,本文的核心目标是设计一个针对PHP漏洞检测的LLM框架RealVul,以弥补现有研究的不足。具体而言,关注如何从真实项目中定位漏洞触发点并提取有效样本、如何通过代码预处理突出漏洞特征、以及如何利用半合成数据扩充稀缺样本

  • 3
  • 0
  • Bear001
  • 发布于 2025-10-16 09:00:01
  • 阅读 ( 3426 )

MCP安全协议:从攻击手法到最佳实践,全景解析

在大模型和智能应用快速发展的今天,Model Context Protocol(MCP)逐渐成为连接模型与外部服务的重要标准。它让开发者可以更方便地调用第三方 API,为模型提供更多上下文能力。但与此同时,安...

  • 1
  • 0
  • Halo咯咯
  • 发布于 2025-10-11 09:57:18
  • 阅读 ( 3948 )

大模型安全之数据投毒

数据投毒是针对模型训练阶段的攻击,通过向训练数据注入有害样本或篡改样本标签/特征,改变模型学习到的映射,从而在部署后降低模型性能或触发预设行为

  • 0
  • 0
  • 洺熙
  • 发布于 2025-08-21 10:02:08
  • 阅读 ( 5718 )

LLM如何安全对齐(基础篇)

AI对齐旨在确保AI系统,其能力与行为同人类的价值观,意图及伦理规范保持一致 本文将系统性梳理AI对齐的基础原则,剖析理论与算法的挑战 1.模型固有的逆向对齐趋势 2.人类偏好非传递性导致的收敛困境 3.安全保障的系统性复杂性

  • 0
  • 0
  • 洺熙
  • 发布于 2025-08-21 09:00:03
  • 阅读 ( 4783 )

RAG安全攻略:揭秘检索增强生成的风险与防护之道

在人工智能(AI)的浪潮中,Retrieval-Augmented Generation(RAG,检索增强生成)无疑是一颗耀眼的新星。它让AI系统不再局限于训练时的“旧知识”,而是能从海量外部数据中实时检索相关信息,生...

  • 0
  • 0
  • Halo咯咯
  • 发布于 2025-08-11 10:00:02
  • 阅读 ( 5094 )

大模型安全风险概览

理解大模型安全的全景视图 要真正掌握大模型安全,我们首先需要建立一个全景式的认知框架就像建筑师在设计摩天大楼时必须考虑地基、结构、电梯系统和消防安全一样,大模型的安全也需要从生命周...

  • 0
  • 0
  • 洺熙
  • 发布于 2025-07-04 16:14:55
  • 阅读 ( 4947 )

LLM安全基础与各厂商安全策略设计

LLM安全基础 在深入探讨大语言模型(LLM)的安全风险与防护策略之前,建立一个清晰、坚实的基础认知至关重要。这不仅是为了确保后续讨论的有效性,更是因为对核心术语、基本原则及其内在逻辑的...

  • 1
  • 0
  • 洺熙
  • 发布于 2025-07-04 16:14:51
  • 阅读 ( 4398 )

LLM概述与全景解析

LLM概述与全景 1 什么是 LLM? LLM是基于深度神经网络架构的预测模型。在通过在海量的语料库上进行大规模训练,学习并内化语言的统计规律,语义关联及上下文依赖, 训练目标通常是预测序列中的下...

  • 0
  • 0
  • 洺熙
  • 发布于 2025-07-04 16:14:46
  • 阅读 ( 3777 )

AI 时代的 mcp 攻防探讨

模型上下文协议(Model Context Protocol, MCP)是一种用于在分布式系统中管理和共享模型上下文的协议,广泛应用于机器学习、区块链和物联网等领域。然而,随着MCP的广泛应用,其安全性问题也日益凸显。

  • 0
  • 0
  • 逍遥~
  • 发布于 2025-06-10 09:00:03
  • 阅读 ( 5488 )

ai红队之路探索

AI Red Teaming是模拟针对AI系统的对抗性攻击的实践,旨在恶意行为者之前主动识别漏洞,潜在的误用场景和故障模式。

  • 1
  • 0
  • 逍遥~
  • 发布于 2025-06-04 10:00:00
  • 阅读 ( 6192 )

2025年RSA大会:10大AI安全工具,开启智能防御新时代

在刚刚过去的RSA大会上,AI安全领域迎来了井喷式的发展。从SIEM(安全信息与事件管理)、SOAR(安全编排自动化与响应)、ITDR(身份威胁检测与响应)到DSPM(数据安全态势管理)、红队测试和防...

  • 0
  • 0
  • Halo咯咯
  • 发布于 2025-06-03 09:56:30
  • 阅读 ( 5200 )

基于条件干预的大模型推理时防御

之前很多研究工作已经表明,大语言模型(LLMs)的一个显著特点是它们能够通过激活中的丰富表示来处理高级概念。这一特性也使得在去年NeurIPS(人工智能顶会)上出现了很多与激活引导(activation steering)等技术的有关的工作

  • 0
  • 0
  • elwood1916
  • 发布于 2025-06-05 09:00:00
  • 阅读 ( 4051 )

基于注意力操纵的AIGC版权风险规避技术

扩散模型的背后一个很核心的风险就是未授权数据集使用的问题。当然,这种侵权分为两种,一种是使用文生图模型得到的图像,其版权归属问题,比如之前的新闻提到,北京互联网法院全国首例“AI文生图”著作权侵权案获最高法院“两会”工作报告关注

  • 1
  • 0
  • elwood1916
  • 发布于 2025-05-26 09:00:02
  • 阅读 ( 3990 )

网络安全大模型微调:红队大模型

上篇文章中我们已经基本了解了微调一个基座大模型的流程,本文我们将集中于微调出一个实际的安全大模型。 因此首先有必要必要了解微调出一个安全大模型存在的难点

  • 4
  • 0
  • elwood1916
  • 发布于 2025-05-23 09:00:02
  • 阅读 ( 7263 )

基于概念擦除的AIGC防侵权技术

最近的文生图模型因为卓越的图像质量和看似无限的生成能力而受到关注。最近出圈,可能是因为openai的模型可以将大家的图像转变为吉卜力风格。

  • 0
  • 0
  • elwood1916
  • 发布于 2025-05-12 10:14:50
  • 阅读 ( 5318 )