腾讯朱雀实验室（Tencent Zhuque Lab）是腾讯安全平台部于 2019 年成立的顶尖 AI 安全实验室，专注于 AI 安全领域的实战攻防与前沿技术研究，研究方向涵盖大模型安全、AI 智能体安全、AI 赋能安全与 AI 生成检测等领域。如果觉得太复杂，我们推荐使用 A.I.G 的EdgeOne Claw Skill 给你的龙虾做一轮系统性检查，它会调用 A.I.G 对 ClawHub 上

我们相信，只有构建起强大的、自动化的 AI 安全免疫体系，让安全能力像水和电一样触手可及，我们才能真正安心地拥抱这个激动人心的 Agent 时代。通过这种“Agent VS Agent”的模式，我们能够自动化、高精度地提前排查出那些潜藏的恶意技能，在它们造成危害前就将其拆除，未来我们还将支持无需上传直接评估 Agent 的潜在工具协议风险。最终，它成功的扫描出被篡改后的webapp-testing

我们相信，只有构建起强大的、自动化的 AI 安全免疫体系，让安全能力像水和电一样触手可及，我们才能真正安心地拥抱这个激动人心的 Agent 时代。通过这种“Agent VS Agent”的模式，我们能够自动化、高精度地提前排查出那些潜藏的恶意技能，在它们造成危害前就将其拆除，未来我们还将支持无需上传直接评估 Agent 的潜在工具协议风险。最终，它成功的扫描出被篡改后的webapp-testing

腾讯啄木鸟团队研发了一款AI大模型自动化漏洞检测工具，在实战拿到多个github项目的0day。

借助混元大模型，腾讯啄木鸟代码安全团队在代码评审（Code Review，下文简称CR）场景下的安全漏洞检出能力取得显著提升，日均发现和阻断300+个代码安全风险，极大提升了公司核心数据资产安全性。

2025年伊始，AI领域迎来一个重要变革 - DeepSeek R1开源发布，凭借着低成本、性能出众的优势，这个模型在短短几周内就获得空前关注。由于官网服务经常繁忙，大家开始选择使用Ollama+OpenWebUI、LM Studio等工具进行本地快速部署，从而将AI能力引入企业内网和个人PC环境。近期腾讯朱雀实验室发现：这些广受欢迎的AI工具中普遍存在安全漏洞。如果使用不当，攻击者可能窃取用户数

因此，攻击者可以利用恶意的MCP，在工具描述或外部数据中悄悄植入后门指令，劫持大模型的行为，执行预期之外的恶意操作。● MCP协议官方： “我们只负责定义一套高效、安全的通信标准，我们会通过OAuth授权、HTTPS加密传输等技术保证数据完整可靠的送达给AI Agent，我们无法、也不该为用户通过MCP协议传输的数据内容是否恶意负责。为了吸引尽可能多的像小明一样鱼儿上钩，攻击者会利用公开的API快

A.S.E (AI Code Generation Security Evaluation) - 你的 AI 鉴赏官，为你提供大模型安全实践工具，让你一眼就能选出最靠谱的 AI 队友。在 A.S.E 2.0 中，我们关注的不只是框架本身的进化，更关注开发者、研究者和安全团队在使用过程中的体验与收益。正是你们的关注、建议与共建，让 A.S.E 逐步成长为兼具科研价值与产业影响力的开放评测。“我们的项

文｜腾讯研发安全团队Spine、martinzhou背景Node-RED是IBM开源的低代码物联网编排工具，在物联网领域有广泛应用，包括研华WISE PaaS、西门子Iot2000、美国g...

随着大模型技术的不断发展，安全问题已经不再只是技术部门的任务，而是关乎整个行业与社会稳定的核心问题。本文将深入分析大模型在新场景下面临的主要安全威胁，探讨它们可能带来的潜在影响，并结合实际案例，分享应对策略与防护措施。通过建立多层次的安全防护体系，帮助企业在享受技术红利的同时，确保业务和数据的安全与稳定。一、新场景下的安全威胁2025年春节期间，一场突如其来的网络风暴震撼了大模型领域。某知名大模型