logo
publist
写文章

简介

该用户还未填写简介

擅长的技术栈

可提供的服务

暂无可提供的服务

AI编程工具正在成为新的攻击入口:从Claude Code后门事件看AI供应链安全的5个致命盲区

Claude Code事件不是第一个,也不会是最后一个。就在写这篇文章的时候,蚂蚁AI安全实验室刚开源了智能体安全护栏SingGuard-NSFA,OWASP发布了《智能体应用安全十大风险》,国家网信办也印发了《智能体规范应用与创新发展实施意见》——AI安全正在从"可选项"变成"必答题"。作为安全从业者,我们的工作不是阻止团队用AI。AI编程工具确实能提升效率,这是事实。但"提升效率"和"裸奔使用

文章图片
#人工智能#安全
AI编程工具正在成为新的攻击入口:从Claude Code后门事件看AI供应链安全的5个致命盲区

Claude Code事件不是第一个,也不会是最后一个。就在写这篇文章的时候,蚂蚁AI安全实验室刚开源了智能体安全护栏SingGuard-NSFA,OWASP发布了《智能体应用安全十大风险》,国家网信办也印发了《智能体规范应用与创新发展实施意见》——AI安全正在从"可选项"变成"必答题"。作为安全从业者,我们的工作不是阻止团队用AI。AI编程工具确实能提升效率,这是事实。但"提升效率"和"裸奔使用

文章图片
#人工智能#安全
AI检测 vs 传统SIEM:2026年安全运营效率实测对比

与此同时,安全团队的告警积压问题日益严重——一个10人安全运营中心(SOC),每天平均处理超过3,000条告警,其中80%以上是无效噪声。我们模拟了一个典型中型企业的安全运营场景(500台终端,日均日志量5,000万条),对传统SIEM和AI检测平台进行了为期3个月的对比测试。随着安全告警量增长,AI平台的成本优势将持续扩大。是安全运营领域的基础工具,2000年代初期开始普及,至今仍是大多数企业安

文章图片
#人工智能#安全
大模型时代,谁在领跑中国AI安全赛道?中国AI安全产品市场分析

中国AI安全市场目前呈现出“传统巨头吃大盘,大厂云上切蛋糕,新锐硬刚深水区”的格局。在政企合规与大而全的平台级防护上,奇安信、安恒等传统巨头领跑;在金融级实战攻防与AI原生风险检测上,蚂蚁集团、瑞莱智慧领跑;在云原生AI安全与开发者生态上,阿里云、腾讯云领跑。然而,AI技术的迭代速度是以“周”计算的。今天的领跑者,如果无法应对多模态(Sora类视频生成)带来的新型伪造攻击,或者在AI Agent(

文章图片
#人工智能
凌晨3点收到安全告警,我用30分钟封堵了一次入侵

将10.10.3.21(边界服务器)和10.10.3.55(数据库服务器)从负载均衡组中踢出,单独隔离。登录监控后台一看:攻击者已经从边界服务器跳到了内网,正在尝试横向扩展到数据库服务器。拿到Shell后,攻击者发现运行服务的账号是root权限(启动脚本配置了sudo权限,且没有配置权限降级)。修复CVE-2023-20883漏洞,重新配置安全组规则,移除过度权限,应用启动用户改为非root。幸运

文章图片
#安全#网络
我用3个真实案例,把AI大模型安全攻击套路讲透了

"最前沿的模型将让我们构建出有史以来最安全的代码。但问题在于,现在已经运行着的、由人类之手写出的、充满漏洞的'数万亿行代码',不会一夜之间消失。│威胁等级:★★★★★│。│威胁等级:★★★★☆│。但现实是,攻击者已经到"第二层"甚至"第三层"了。**"AI写的代码不会自己宣布自己是AI写的,但这可能是迄今最接近犯罪现场指纹的东西。

文章图片
#人工智能#安全
安全岗位薪资大揭秘 1-3 年/3-5 年/5 年 + 能拿多少?(2026 真实数据)

只会做执行的,卡在 20K 上下。小王,2 年经验,从传统运维转安全,培训 6 个月,入职北京某乙方安服公司,14K。老刘,7 年经验,某大厂安全架构师,55K×16 薪 + 股票,年包 100W+老陈,6 年经验,某金融公司安全负责人,40K×15 薪,年终奖 6-12 个月。小赵,3 年半经验,在某安全厂商做渗透测试 Team Leader,26K。小张,4 年经验,从乙方安服跳到甲方金融,2

文章图片
#安全
中国信通院发布《2026数字安全护航全景图》,数据安全厂商竞争格局再起变化

明御数据安全管理平台采用"1 个中枢 + N 个组件"的架构设计,覆盖数据发现、分类分级、脱敏、审计全流程。保旺达以"AI+ 数据安全"为核心竞争力,投入 AI 模型基础研究与工程化攻关,自研出分类分级、敏感数据脱敏、API 功能识别等模型,覆盖智能化安全审计、数据异常监测、数据流转闭环管控等数据安全全生命周期建设。本期全景图中,数据安全领域涵盖数据安全管控平台、数据分类分级、数据安全审计、数据脱

文章图片
#安全
做了 5 年安全岗位 HR,这 5 类候选人我直接 pass

这 5 年里,我面试过 500+ 候选人,发过 80+ offer,也 pass 过 400+ 人。✅ “XX 漏洞扫描工具(GitHub 200 star):用 Python 编写,支持 SQL 注入、XSS 等 5 种漏洞检测”这些话,面试时我不会直接告诉你,但今天写出来,是希望帮你少走弯路。背概念只能证明你“知道”,不能证明你“会用”。基于个人价值:“我有 3 年渗透测试经验,能独立负责项目

文章图片
#安全
凌晨 2 点,我绕过 WAF 拿到了企业数据库权限:一次真实的 SQL 注入渗透经历

发现了 12 个子域名,其中几个比较敏感: - api.target.com —— 主 API 接口 - order.target.com —— 订单系统 - admin.target.com —— 后台管理 - test.target.com —— 测试环境(⚠️ 高危)今天,我想把这次经历的完整过程写下来,包括: - 我是怎么发现漏洞的 - WAF 为什么没拦住 - 开发最容易踩的 5 个坑

文章图片
#数据库#sql
    共 14 条
  • 1
  • 2
  • 请选择