登录社区云,与社区用户共同成长
邀请您加入社区
本文探讨了一种绕过字符可见性校验的Shellcode注入技术。通过分析目标程序的保护机制和漏洞模型,发现程序存在两个关键盲区:1) is_printable函数会被空字符截断;2) read后自动将末尾字节置零。利用这些特性,作者提出在Shellcode首部插入push 0指令(机器码6A 00),其中6A是可见字符'j',00则触发校验提前终止。这种技术不仅能绕过安全检查,还能为后续ORW(Op
本文的核心目的是帮助企业构建覆盖AI Agent全生命周期的安全管控能力,所有Agent对外的操作请求必须经过Harness层的统一校验、记录和监控,从根本上避免Agent越权、恶意操作、数据泄露等风险。本文的覆盖范围限定为Harness层的安全能力,不涉及LLM本身的幻觉、Prompt注入等模型层安全问题,但会讲解Harness如何拦截模型层漏洞引发的非法操作。
本文提出CoDe-R框架,通过两阶段方法提升反编译代码质量:在训练阶段引入语义推理引导(SCE),让1.3B小模型理解高层算法意图;在推理阶段采用动态双路径机制(DDPF),平衡语义恢复与语法稳定性。实验表明,该方法首次使1.3B模型在HumanEval-Decompile基准上突破50%平均可重执行率,峰值达70.73%,接近专家级大模型性能。CoDe-R的创新在于将"直接翻译&quo
摘要(149字): 论文《IOCRegex-gen》提出基于LLM的自动化方案,将威胁情报(CTI)中的失陷指标(IOC)转化为可部署的正则表达式。通过创新性Group-Aware机制(利用图数据库识别捕获组)和迭代多阶段验证(语法/语义/泛化检查),在3,000+真实CTI报告上实现99.1%命中率和0.8%误报率,较直接LLM生成提升30%+。研究解决了SOC领域IOC→正则的人工瓶颈,但存在
很多人觉得AI应用做不好,要么是模型不够强,要么是提示词写得不够好。但2026年开发者圈子正在达成一个新共识:AI落地的核心瓶颈根本不在模型,而在那套控制它不乱跑的「缰绳系统」。
工具调用”(Tool Calling)在普通开发者和开源模型生态语境下,常被等同于 OpenAI 定义的 Function Calling 标准化接口——但这一认知偏差在企业级落地场景中,可能成为致命的安全漏洞入口系统耦合的导火索业务稳定性的杀手。本文将以“认知纠偏”为起点,一步步拆解:Function Calling 只是“面向大语言模型(LLM)的对话式工具调用协议”,而企业级 Tool AP
顶象(dingxiang-inc)是国内主流的人机验证方案提供商,本文以滑动拼图验证码为研究对象,分析其前端安全机制。前端携带akaidc(动态凭证)等参数请求加载接口,获取乱序背景图路径(p1)、滑块图路径(p2)及会话标识sid还原乱序背景图:根据背景图文件名通过特定置换算法解密列块顺序,重新拼接为正确图像使用 OpenCV 多策略模板匹配,识别滑块缺口在背景图中的水平位置(缺口距左边缘的像素
企业级Agent是一种基于AI技术的软件系统,能够感知环境、做出决策并自动执行任务,以实现特定的业务目标。自主性:能够在没有人工干预的情况下自动执行任务反应性:能够感知环境变化并做出相应调整主动性:能够主动追求目标,而不仅仅是响应外部事件社交能力:能够与其他Agent或人类进行交互和协作。
摘要:轻量化搜打撤游戏凭借差异化玩法实现千万日活,成为出海标杆。然而超高热度引发黑灰产攻击,破解版占比达15%,工作室账号占新增30%,严重威胁游戏公平性。FairGuard定制化安全解决方案通过加密、反作弊、风控等手段,使破解版占比降至0.45%,工作室账号占比降至2%,外挂举报量下降90%,成功挽回玩家信任,为长线运营奠定基础。
传统IT运维高度依赖资深工程师的个人经验,存在标准不统一、知识难传承、响应速度慢和规模难扩展等问题。超自动化巡检通过将经验转化为结构化剧本、建立数据驱动标准、实现机器人代劳执行,构建了不依赖个人的标准化运维体系。其核心价值在于实现运维标准的固化与持续进化,通过AI优化、知识共享和团队赋能,推动运维从"人治"转向"工业化"模式,保障企业数字基石的稳定性和可持续性。这种转变使运维质量摆脱对特定个体的依
AI不再是网络安全的“辅助工具”,而是成为贯穿“监测、识别、预警、处置”全流程的“核心大脑”,将网络安全防护从“被动挨打”推向“主动预判”,为数字世界构建起一道更高效、更精准、更具韧性的安全防线。但与此同时,网络攻击也在不断迭代升级,从简单的暴力破解到隐蔽的精准伪装,从单点攻击到规模化渗透,传统依赖人工排查、固定规则的防御模式,早已难以应对这场“不对称”的攻防战。同时,AI会根据漏洞的危险等级,自
本文提供了Hermes Agent的深度配置指南,从基础安装到高效使用的四个关键步骤: 模型配置:根据任务类型选择合适模型,通过config.yaml和.env文件管理模型行为和密钥。 技能优化:将常用工作流程沉淀为Skill,建立可复用的方法库,存放在~/.hermes/skills/目录。 记忆强化:安装长期记忆插件,建立分层记忆系统,实现跨会话的持续协作体验。 工具扩展:合理启用内置工具,区
在我第一次做这个靶机的时候,我这边AI一直告诉我找不到文件,所以编写了一个python脚本来查找flag,在后面补博客的时候,重新开的机器输出了flag。调查伊始,我们需要做的是找到一些记录了异常网络活动的文件,这里想到的是寻找pcap文件,并且题目提示了我们攻击者遗留了工作笔记在pcap文件中。这里我使用的是AttackBox,连接进去后,打开目标机器,上述所说的工作站环境,并且该环境在7860
以“安全”为核心标签的AI明星公司Anthropic,因其王牌产品Claude Code的源代码大规模泄露,上演了一场堪称“AI领域核泄漏”的安全事故。这起事件并非源于黑客的高超技巧,而是一个低级的人为失误,它深刻地揭示了一个朴素的真理:数据防泄漏(DLP)不是可选项,而是企业生存的生命线。企业必须将安全理念贯穿于产品从开发到运维的全生命周期,用严格的流程代替脆弱的信任,用自动化的工具弥补人为的疏
作为免费开源的轻量代码编辑器,Notepad++凭借启动极速、批量处理能力强、安全纯净、操作简单等优势,成为Windows平台程序员的必备工具。近期更新后,彻底修复安全漏洞,稳定性大幅提升,搭配正则替换、宏录制等技巧,能大幅提升编码、文本处理效率。对比VS Code,Notepad++更适合轻量编码、批量处理场景,无需复杂配置,零基础也能快速上手。无论是新手入门,还是资深程序员日常辅助,它都能以最
OpenClaw 与 HappyHorse 的深度融合,是 2026 年 AI 技术落地的标志性事件 —— 它将 “顶尖视频生成能力” 与 “自动化执行能力” 结合,打破内容生产的专业壁垒、成本壁垒、效率壁垒,让 “视频量产” 变得像 “写文档” 一样简单。从跨境电商到内容创作,从企业宣传到教育培训,这一融合正在重构各行各业的生产范式:曾经需要专业团队、高额成本、漫长周期的工作,现在只需一条指令、
过去一段时间,围绕 Agent 安全的讨论,很多都集中在提示注入、工具滥用、越权调用这些问题上。但如果把视角再往前推一步,会发现一个更棘手的问题:**风险不一定来自“恶意 skill”,也可能来自“看起来正常、但本身带洞的 skill”**。
思科拟3亿美元收购以色列AI安全公司Astrix 知情人士透露,思科正就收购以色列AI安全初创公司Astrix进行深入谈判,交易估值或达2.5-3.5亿美元。Astrix开发的自动化平台可实时发现企业网络中的AI代理,识别其工具配置,并检测安全风险。其核心技术包括即时访问控制、异常行为检测和自动化权限撤销功能,能有效管理AI代理的权限滥用问题。 此次收购将强化思科在AI安全领域的布局。此前一天,思
其他方面目前看没有大坑,可以放心升级。至于这只龙虾还能走多远——35 万星,一天一更,我觉得还没到天花板。
【代码】给OpenClaw戴上“安全锁“:AI沙箱基于E2B的硬件级隔离实践。
随着 DevSecOps 理念在研发体系中的全面普及,代码安全审计已经成为企业研发流程中不可或缺的核心环节。传统的静态代码扫描工具普遍存在误报率高、无法识别复杂逻辑漏洞、难以给出可落地的修复方案等痛点,而 OpenClaw 作为垂直深耕代码安全领域的大模型,凭借其在漏洞挖掘、二进制分析、POC 编写、逆向工程、修复方案生成等方面的专业能力,已经成为代码安全场景的核心生产力工具。
当前主流标准包括 **SPDX**、**CycloneDX** 和 **SWID**。| **Fulcio(Sigstore)** | ✅ 高(基于OIDC,无长期密钥) | ⚠️ 中(需OIDC Provider) | 免费 | 开源项目/CI/CD |- **Transitive Dependencies(传递依赖)**:直接依赖的依赖项,形成依赖树。| **KMS(AWS/GCP/Azure
[4. Constraint Template 开发实战](#4-constraint-template-开发实战)| **策略语言** | Rego | YAML/patches | Go/任意语言 | Rego || **与 K8s 集成** | 原生 | 原生 | 原生 | 需自建 Webhook |- [3. Rego 策略语言深度剖析](#3-rego-策略语言深度剖析)- **学习成本
本文介绍了一个基于YOLOv11的无人机检测系统,针对空域安全管理需求设计。项目采用PyQt5开发交互界面,结合OpenCV进行视频处理,通过轻量化模型优化实现边缘设备部署。系统创新性地应用多尺度特征融合技术,提升小目标检测准确率至95%以上,同时成本仅为传统方案的1/10。包含完整的数据采集、模型训练(300轮次)和可视化模块,适用于机场等敏感区域监控,具有显著的安全和经济价值。评分:难度3分,
全球高端建站市场正经历战略重构,预计到2035年规模将达32.1亿美元。无代码解决方案受62%用户青睐,67%中大型企业将定制建站纳入核心预算。上海市场呈现两极分化格局,技术趋势聚焦Headless架构和WebGL应用。本文甄选10家代表企业,包括互橙文化、IDEO等,从技术实力、设计能力等维度评估。行业趋势显示AI技术深度融合,68%平台部署AI工具,"建站+运营"模式成为标
本文系统阐述了数据质量治理清洗-校验-修复全流程方法与四可装置的协同机制:通过数据清洗剔除异常值,校验确保数据准确性,采用插值、模型预测等方法修复缺失数据。治理后的高质量数据可提升装置的可观性、可测精度及调控可靠性,形成数据采集-治理-应用闭环体系。研究显示,经治理的数据偏差可控制在±2%以内,为光伏系统精准管控提供核心支撑,推动从粗放运维向智能化转型。未来数字孪生等技术的融合将进一步提升
文章分析了AI智能体对职场结构的冲击,指出企业将采用"AI智能体+本地化部署"模式重构工作流程,导致岗位替代和人力成本向算力成本转移。面对AI带来的职场变革,文章强调网络安全技能成为职场新护城河,提供了系统学习路线和实用资源,帮助职场人提升竞争力,适应未来工作需求。
2025年网络安全就业市场火爆,安全运营、云安全、数据合规和AI安全岗位需求激增。甲方薪资比乙方高20%-30%,有证书和Python能力更受青睐。文章针对不同背景人群提供职业发展建议,强调甲方扩张、证书门槛和AI工具普及三大趋势,帮助从业者抓住高薪就业机会。
2026年4月7日,Anthropic发布Claude Mythos Preview——首个能自主完成"零日漏洞发现→武器化→沙箱逃逸→远程代码执行"完整攻击链的AI模型。不对公众开放,只向AWS/Apple/Google/Microsoft/NVIDIA等Project Glasswing十家巨头投入1亿美元使用额度。本文深度解读技术细节、商业逻辑和对独立开发者的冲击。
摘要:软件测试行业正经历结构性变革,学历的"硬通货"属性快速褪色,能力本位成为核心。驱动因素包括人才供给过剩、教育产业脱节、AI工具普及和企业评价体系变革。测试工程师需构建多层能力体系:技术硬技能、工程思维、协作能力和持续学习。专业证书价值转向"工具性",应建立"能力驱动,证书辅助"的发展路径,通过项目实战、社区贡献和AI协同提升竞争力。
当传统安全生产巡检还在依赖人工排查、纸质记录时,一款名为"我Ai去巡检"的微信小程序正在悄然改变这个行业。上线短短时间用户量突破10万,成为安全生产领域现象级应用,这款小程序究竟藏着怎样的技术魔力?今天我们就从技术角度,拆解这款AI巡检神器的硬核实力。
摘要:云安全联盟(CSA)最新报告指出,Anthropic的Glasswing项目标志着AI网络安全能力的质变突破。报告显示,Claude Mythos预览版能自主发现漏洞并生成攻击链,将漏洞利用周期从数周缩短至数小时,加剧攻防不对称性。AISI测试证实其攻击效能远超人类,预示更多类似AI将涌现。报告建议企业立即强化基础防护,并呼吁重构安全体系以应对AI驱动的漏洞风暴,强调这已上升为董事会层级战略
摘要: Anthropic公司紧急限制其AI模型MythosPreview,因其自主利用0Day漏洞,凸显AI攻击的威胁。Palo Alto Networks和CrowdStrike报告显示,网络攻击速度已缩短至分钟级(突破时间29分钟,横向移动22秒)。尽管检测技术(EDR、SIEM等)使平均检测时间(MTTD)趋近于零,但警报响应环节仍是防御短板——人工调查需20-40分钟,远落后于攻击速度。
EACL 2026 (第19届欧洲计算语言学协会会议): 2026年3月24-29日: 摩洛哥拉巴特 (Rabat, Morocco): 2026年4月16日。
根据Gartner最新研究,人工智能、地缘政治紧张局势和监管不确定性将成为影响网络安全格局的核心驱动因素。随着员工和开发者广泛采用AI Agent,新的攻击面正在形成。无代码/低代码平台和氛围编程(Vibe-Coding)的普及加速了自主AI的失控扩散,导致不安全代码激增和潜在合规风险。Gartner分析师Alex Michaels强调:“企业必须建立严格的治理体系,既要识别已授权和未授权的AI
2026年,网络犯罪规模或达20万亿美元,AI智能体、量子计算等技术成为攻防双方博弈核心。人类既是安全链条的薄弱环节,也可能是扭转战局的关键。**真假难辨的信任危机。**深度伪造音视频技术突破身份验证屏障,冒充高管诈骗、伪造证据等攻击频发。技术迭代使真伪辨别难度激增,企业需部署更精准的生物识别与行为分析系统。“勒索软件即服务”工具降低犯罪门槛,加密货币与匿名技术助长黑产链条。攻击者结合深伪技术绕过
安全
——安全
联系我们(工作时间:8:30-22:00)
400-660-0108 kefu@csdn.net
AtomGit开源社区
龙虾开发者社区
2048 AI社区
