DeepTective: 基于混合图神经网络的自动化漏洞挖掘框架
PHP在Web应用中的普遍漏洞以及开发者、安全公司和白帽黑客为解决这些问题所做的努力。传统的静态、流和污点分析方法在性能上存在局限性,数据挖掘方法常受到误报/漏报的困扰,而近期基于深度学习的模型(主要是基于LSTM)并不天生适合程序语义等图结构数据。DeepTective是一种基于深度学习的PHP源代码漏洞检测方法,其核心创新在于采用混合架构,结合门控循环单元(GRU)处理代码令牌的线性序列(语法信息),以及图卷积网络(GCN)处理控制流图(CFG)(语义和上下文信息)
- 0
- 0
- Bear001
- 发布于 2025-10-23 09:47:12
- 阅读 ( 2861 )
Bear001
银空飞羽
补齐SDLC最后一块拼图:LLM 在应用安全中的实践探索
随着DevSecOps的推进,应用安全已逐步融入SDLC各阶段,一个长期存在的问题依然突出:安全工具往往能发现问题,却难以判断其真实性、可利用性及处置优先级。这些持续消耗研发与安全团队的时间精力。近年来随着大语言模型的迅速发展,为这一困境提供了新的可能,本文结合实际应用安全建设经验,重点探讨AI在硬编码、SCA、漏洞挖掘等场景中的应用安全实践方法。
- 3
- 1
- hyyrent
- 发布于 2026-01-21 09:00:01
- 阅读 ( 2526 )
hyyrent
AI 供应链安全:MCP 协议下自动化 AI 架构中的隐式执行风险实测
随着大语言模型(LLM)从单纯对话向自动化执行演进, MCP (Model Context Protocol) 协议正迅速成为连接模型大脑与外部工具(文件、数据库、API)的标准“USB接口”。然而,这种高度集成的架构也引入了一个AI隐式执行的风险。不同于传统的前端提示词注入,基于 MCP 的攻击发生在系统底层的协议交互阶段。本文将通过两个小实验实测复现,演示如何通过篡改MCP工具元数据,诱导模型进入逻辑陷阱,从而实现敏感数据的静默外泄。
- 1
- 2
- 11123
- 发布于 2026-01-06 09:46:20
- 阅读 ( 2522 )
11123
从Prompt注入到Agent命令执行的LLM越狱技术剖析
本文立足于大模型红队攻防实战,剖析越狱攻击的技术本质——即利用模型对齐缺陷触发非预期行为。内容涵盖结构化角色嵌套(JSON)、伪代码封装(DSPy)等具体 POC 案例,并对多语言、语义反转、格式注入等攻击手法进行了分类解析。文章进一步指出,随着模型具备 API 调用与智能体能力,越狱危害已突破内容安全层面,演变为可直接操作系统的应用安全风险。通过对比纯文本交互、插件调用与智能体驱动三种数据流,本文揭示了从“生成有害文本”到“执行恶意代码”的攻击面升级,为构建纵深防御体系提供技术参考
- 6
- 2
- 洺熙
- 发布于 2026-01-28 09:00:02
- 阅读 ( 2505 )
洺熙
KV-Cache:大语言模型推理加速的双刃剑—隐私风险与防御实战
在2025年,大语言模型(LLM)推理服务已全面进入多租户时代,KV Cache作为核心加速技术,让Prefill阶段并行计算、Decode阶段复用历史键值,带来5–8倍的吞吐提升。然而,这把“双刃剑”也暴露了严重的安全隐患:共享缓存下的时序侧信道可直接泄露用户Prompt;更隐蔽的History Swapping能悄无声息劫持输出话题;腐败攻击则通过扰动Key向量引发幻觉与性能崩坏。
- 0
- 0
- Wh1tecell
- 发布于 2026-01-20 09:00:02
- 阅读 ( 2368 )
奇安信攻防社区
JumpServer 远程代码执行漏洞 CVE-2026-31864 漏洞分析
该漏洞存在于JumpServer的YAML配置文件处理逻辑中,由于在使用Jinja2模板引擎渲染用户上传的YAML文件时未启用沙箱环境,导致具有应用小程序管理或虚拟应用管理权限的攻击者可以通过构造恶意的manifest.yml文件实施服务端模板注入攻击,进而在JumpServer Core容器中以root权限执行任意系统命令,窃取所有被管理主机的敏感信息或篡改数据库数据。
- 0
- 3
- qwetvg
- 发布于 2026-03-16 09:55:23
- 阅读 ( 2286 )
qwetvg
AI安全之间接提示词注入实现RCE(CVE-2025-53773绕过分析)
AI安全之间接提示词注入实现RCE(CVE-2025-53773绕过分析)
- 1
- 1
- mhxiang
- 发布于 2025-12-29 09:45:04
- 阅读 ( 2242 )
mhxiang
第五届“湾区杯”CTF Final - Blind writeup
本题描述了一个现实场景常见的模型:即无法采用多模态模型时,先使用ASR模型将语音转换为文字,接着调用大模型进行回答。
- 0
- 2
- Cain
- 发布于 2025-12-31 10:00:01
- 阅读 ( 2165 )
Android 应用内 Schema 分发导致的逻辑劫持与 Token 泄露风险
本文深度剖析了 Android 混合应用中由于自定义 Schema 分发不当导致的链式安全漏洞。通过对导出组件 Intent 重定向缺陷的挖掘,配合 WebView 不安全的 JSBridge 配置,演示了攻击者如何利用恶意 DeepLink 实现远程自动化 Token 窃取。文中详细记录了静态审计、逻辑追踪及动态 PoC 验证全流程,并提出了针对性的加固方案,旨在揭示移动端从控制流劫持到敏感凭证泄露的安全风险
- 1
- 1
- bReaK_1
- 发布于 2026-03-12 09:00:00
- 阅读 ( 2143 )
跨层残差绕过LLM内生安全
2025年LLM的内容安全已经有质的飞跃了,基于模型内生安全、外挂的安全审核模型、改写模型等等手段,传统的基于提示词工程的黑盒攻击逐渐难以突破愈发完善的防御机制,而白盒攻击通过直接操纵模...
- 0
- 3
- Holiday
- 发布于 2026-01-22 09:00:00
- 阅读 ( 2137 )
【2025补天白帽黑客盛典】大模型时代的移动端攻防:基于LLM的App漏洞挖掘
本议题将分享一种基于LLM Agent的App漏洞挖掘。通过引入MCP方式,结合精细化的Prompt工程与工作流编排,将复杂的挖洞过程拆解为可控的原子任务。将展示如何使用LLM强大的代码审计能力,实现对App隐蔽漏洞的高效、精准捕获。
- 2
- 0
- 奇安信攻防社区
- 发布于 2025-12-30 10:44:34
- 阅读 ( 2087 )
第五届“湾区杯”CTF Final - 耄耋 writeup
本题给出了数千张小猫的图片,数据分为两类:AI生成和人工拍摄,期望选手对数据完成区分,即完成人工智能生成图片伪造检测技术。
- 0
- 2
- Cain
- 发布于 2025-12-31 09:00:02
- 阅读 ( 2024 )
红队工具化(二):frp静态特征消除以及流量改造
本文将简单介绍frp这款隧道代理工具的项目结构和代码运行流程以及如何通过对frp二次开发(后面简称"二开")来消除其静态特征和流量特征从而规避杀软以及EDR的检测。
- 4
- 5
- r0leG3n7
- 发布于 2026-02-03 09:00:02
- 阅读 ( 2008 )
Ai安全漏洞剖析-CVE-2025-68664
LangChain 是一个用于构建基于ai大语言模型(LLM)应用程序的框架。在受影响版本中,存在序列化注入漏洞。
- 1
- 0
- 逍遥~
- 发布于 2026-01-23 09:00:02
- 阅读 ( 1953 )
【2025补天白帽黑客盛典】当AI成为自己的红队:自动化越狱样本构造方法
当大模型深度融入社会运转,其安全边界正面临前所未有的挑战越狱攻击通过精心构造的提示词,可绕过安全限制诱导模型生成有害内容。传统人工构造样本效率低下,而让AI成为自身的红队,正是破解这一困境的创新路径。本议题系统阐述四层自动化越狱样本构造体系:从基础规则化批量生成,到 AI自主创新,再到学术前沿复现与动态定制化生成。
- 1
- 1
- 奇安信攻防社区
- 发布于 2025-12-30 11:13:32
- 阅读 ( 1867 )
Bad Char 绕过实战:稳定 MIPS Shellcode 的设计方法
在漏洞验证过程中,Shellcode 必须被完整注入并成功执行,但目标程序常因使用 strcpy、sprintf 等字符串函数,或协议解析与输入校验机制,对 \x00 等坏字符进行截断或过滤,导致载荷失效。该问题不仅影响传统栈溢出利用,在 ROP 场景下同样突出:部分 gadget 地址包含坏字节,难以完整写入,迫使攻击者通过运行时计算等方式绕过,显著增加利用复杂度。因此,准确识别坏字符并制定规避策略,是构造稳定 Shellcode 的关键。本文将结合 msfvenom 的局限性,介绍实战绕过方法。
- 1
- 3
- all
- 发布于 2026-02-02 09:00:00
- 阅读 ( 1784 )
当AI被“反向操控”:图像模型反演攻击全流程揭秘
模型反演攻击(Model Inversion Attack, MIA)是机器学习隐私领域的一大隐患:攻击者仅通过访问模型输出或内部信息,就能“逆向工程”出训练数据的敏感特征。本文聚焦图像分类模型的黑白盒反演攻击,以通俗易懂的方式,从原理到代码、从实验到分析,全链路演示这一攻击的威力与风险。
- 0
- 0
- Wh1tecell
- 发布于 2026-01-26 09:00:00
- 阅读 ( 1712 )
第三届“天网杯” AI赛道 writeup合集
- 1
- 1
- Cain
- 发布于 2025-12-30 09:00:01
- 阅读 ( 1570 )