花北城
补齐SDLC最后一块拼图:LLM 在应用安全中的实践探索
随着DevSecOps的推进,应用安全已逐步融入SDLC各阶段,一个长期存在的问题依然突出:安全工具往往能发现问题,却难以判断其真实性、可利用性及处置优先级。这些持续消耗研发与安全团队的时间精力。近年来随着大语言模型的迅速发展,为这一困境提供了新的可能,本文结合实际应用安全建设经验,重点探讨AI在硬编码、SCA、漏洞挖掘等场景中的应用安全实践方法。
- 3
- 1
- hyyrent
- 发布于 2026-01-21 09:00:01
- 阅读 ( 2838 )
hyyrent
【2025补天白帽黑客盛典】木马藏在权重里:大模型攻击链的越狱、投毒、对抗样本与 ROP 链的连环戏法
本议题提出「权重寄生攻击链」核心框架以大模型权重为寄生载体,通过"入口突破一威胁潜伏一伪装掩护一终极爆发"的闭环传导,将文本越狱、模型投毒、对抗样本、OllamaROP链四类攻击串联的完整威胁链路,打破单一攻击场景的孤立认知,揭示大模型从上层语义到底层系统的全维度安全风险。
- 2
- 1
- 奇安信攻防社区
- 发布于 2025-12-30 10:55:19
- 阅读 ( 1761 )
奇安信攻防社区
AI安全之间接提示词注入实现RCE(CVE-2025-53773绕过分析)
AI安全之间接提示词注入实现RCE(CVE-2025-53773绕过分析)
- 1
- 1
- mhxiang
- 发布于 2025-12-29 09:45:04
- 阅读 ( 2603 )
mhxiang
银空飞羽
一文带你看懂MQTT——MQTT pwn初探
本文详细讲解了MQTT协议的基本原理,环境搭建,并以两道经典MQTT-pwn例题详细讲解了MQTT协议在通信过程中的利用
- 1
- 1
- bazhuayu
- 发布于 2026-01-05 09:00:01
- 阅读 ( 3892 )
bazhuayu
第三届“天网杯” AI赛道 writeup合集
- 1
- 1
- Cain
- 发布于 2025-12-30 09:00:01
- 阅读 ( 1829 )
黑灰产从绕过到自建“无约束”的AI模型过程
市面上主流的大模型服务,都已经建立一套相对成熟的安全架构,这套架构通常可以概括为三层过滤防御体系 1. 输入检测:在用户请求进入模型之前,通过黑白词库、正则表达式和语义分析,拦截掉那些意图明显的恶意问题。 2. 内生安全:模型本身经过安全对齐,通过指令微调和人类反馈强化学习(RLHF),让模型从价值观层面理解并拒绝执行有害指令。 3. 输出检测:在模型生成响应后,再次进行扫描,确保内容合规。。但攻击者依然在生成恶意内容、钓鱼邮件,甚至大规模恶意软件。
- 3
- 1
- 洺熙
- 发布于 2025-11-28 09:00:02
- 阅读 ( 3593 )
当配置成了炸弹:利用 LibreNMS snmpget 配置篡改实现 RCE 的完整攻击链
本文详细分析了一个基于Laravel框架的系统LibreNMS中存在的配置篡改与任意命令执行漏洞。通过路由分析,揭示了系统中SettingsController类的update方法存在的安全隐患。攻击者可以通过篡改配置文件中的snmpget键值,利用shell_exec函数执行任意系统命令。
- 0
- 1
- 中铁13层打工人
- 发布于 2025-11-10 10:00:00
- 阅读 ( 20650 )
中铁13层打工人
揭秘AI自动化渗透背后的迷雾
今年是Agent的主旋律,随着近期Blackhat DEFCON 以及各大赛事 会议的开展,AI与安全的话题不断碰撞,在这其中,AI自动化漏洞挖掘/渗透?AI是否能代替人类安全工作人员?或安全怎么才能不被AI代替? 一直是热门的话题 本文将以AI赋能安全方面,至少在明面上来说,目前产品工程与经营都比较完善的XBOW来进行分析 一同观看目前AI for安全的前沿在那一步?
- 4
- 1
- 洺熙
- 发布于 2025-10-22 09:46:28
- 阅读 ( 6330 )
RealVul: 基于大语言模型训练微调的PHP漏洞检测框架深度解析
LLM赋能安全领域前沿研究“甚少”,在研究该领域的前沿论文科研时发现了一个很开创性的漏洞检测框架,本文的核心目标是设计一个针对PHP漏洞检测的LLM框架RealVul,以弥补现有研究的不足。具体而言,关注如何从真实项目中定位漏洞触发点并提取有效样本、如何通过代码预处理突出漏洞特征、以及如何利用半合成数据扩充稀缺样本
- 3
- 1
- Bear001
- 发布于 2025-10-16 09:00:01
- 阅读 ( 4353 )
Bear001
某bip漏洞挖掘-从0day到1day的伤心之旅
挖到的时候以为是0day,结果已经有补丁了,算是1day了。。。
- 2
- 1
- Clown
- 发布于 2025-10-09 09:00:00
- 阅读 ( 18294 )
记一次Android 恶意软件逆向及Frida动态分析
本文记录了一次Android 恶意软件逆向及Frida动态分析的实战过程,包括脱壳、恶意软件代码逆向分析、frida破解加密、绕过frida检测等技术细节,详细分析了Android 恶意软件的攻击链路。
- 3
- 1
- xiaoyu007
- 发布于 2025-09-24 10:00:00
- 阅读 ( 6336 )
Risen 勒索软件样本逆向分析
Risen 勒索软件是一种加密型恶意软件,它侵入受害者系统后,会加密并重命名文件(通常在原扩展名后添加电子邮件地址与用户 ID,如 “.Default@firemail.de].E86EQNTPTT”),同时在桌面和登录前屏幕显示勒索信息,然后留下两个勒索信文件(“Risen_Note.txt” 和 “Risen_Guide.hta”),要求受害者联系攻击者(通过提供的邮箱地址)并在三天内合作,否则威胁泄露或出售网络中的数据。
- 1
- 1
- xiaoyu007
- 发布于 2025-09-23 09:42:50
- 阅读 ( 4070 )
DOM-Clobbering入门到实战
常见的XSS有很多,大多数都是通过控制js来进行攻击,但是这次,我们可以只需要HTML即可完成攻击,是不是很好玩?
- 3
- 1
- 梦洛
- 发布于 2025-09-18 09:00:02
- 阅读 ( 4398 )
梦洛
记一次曲折击穿通用CGI的小fight
by AugustTheodor & 千堆雪与长街 文章太长了,有稍微的删改。
- 2
- 1
- 阿斯特
- 发布于 2025-09-01 10:06:14
- 阅读 ( 12657 )
阿斯特
大模型投毒-训练、微调、供应链与RAG解析
人工智能系统的安全范式正从外部防御转向保障其内在的认知完整性。攻击通过污染训练数据、在微调阶段植入后门、利用供应链漏洞以及在推理时注入恶意上下文,旨在从根本上破坏模型的可靠性与安全性
- 1
- 1
- 洺熙
- 发布于 2025-09-04 09:00:02
- 阅读 ( 7122 )
【补天白帽黑客城市沙龙-杭州站】让安全大模型不做花瓶
本议题聚焦于面向复杂场景的模型训练与架构设计,提出多种解决方案提升模型在网络安全场景下的理解与推理能力。在此方案下的实验中,体现了自动渗透、自动修复、自动信息收集、自动打靶、参与CTF竞赛等通用能力,初步具备无需人工干预的通用执行能力。
- 1
- 1
- 奇安信攻防社区
- 发布于 2025-08-13 18:19:34
- 阅读 ( 4597 )
【补天白帽黑客城市沙龙-杭州站】.NET反序列化漏洞全链路攻防
议题从攻防角度出发,剖析.NET常见高危反序列化组件,结合实战案例,深入解析JavaScriptSerializer的特殊漏洞触发机制,从上传恶意DLL到加载混合程序集的完整利用链,同时针对定制化WAF展示代码层面的绕过方法,系统呈现.NET反序列化漏洞的攻防全链路。
- 2
- 1
- 奇安信攻防社区
- 发布于 2025-08-13 18:19:31
- 阅读 ( 3955 )