Cursor 的 Agent Skill 机制允许你教会 AI 执行特定领域的专业任务。对于安全研究人员来说，一套精心设计的代码审计 Skill 体系可以将 Cursor 打造为高效的安全审计助手——自动化扫描危险模式、追踪数据流、生成标准化报告。本文基于一套经过实战验证的 14 个安全审计 Skill 体系的设计与重构经验，系统讲解如何编写高质量的代码审计 Skill。元数据（YAML fron

总结一下，传入payload为groovy执行命令语法，经过调用链，最终来到GroovyScriptEngine脚本引擎处scriptobject.run()执行命令。来到FlowExecutor.java的execute2Future，一直往下跟execute的函数，看左下角调用链，先是417行->372行->446行->512行。来到debugFlow方法，前面的代码是定义内容，序列化内容，不

随着人工智能（AI）技术的广泛应用，各类网站纷纷引入AI功能，例如智能客服、AI问诊与AI搜索等。然而，功能的不断丰富也意味着潜在安全风险的相应增加。在日常渗透测试工作中，我时常接触到许多由AI驱动的功能模块。基于长期积累的测试经验，本文将分享我在Web环境中针对AI功能进行安全测试时，通常从哪些方面入手，以及如何有效挖掘潜在漏洞。本文分享了在Web环境中针对AI功能进行安全测试的思路与方法。首先

如果无法立即升级，管理员应考虑以下临时缓解措施：将工作流的创建和编辑权限限制为仅限完全信任的用户，和/或通过将 `n8n-nodes-base.readWriteFile` 添加到 `NODES_EXCLUDE` 环境变量来禁用“从磁盘读取/写入文件”节点。因为没有设置 GIT_SSH_COMMAND，底层的 simple-git 库就会去读取磁盘上的 .git/config 文件。如果攻击者能往

工具链的规范里一个功能完善的深度计算图通常含有不可预知的复合依赖属性或特定的编译附加元数据。最为致命的是整个对外的功能接口全盘封闭了修改安全执行下限的通道，外层代码既不能阻挡也无法介入验证此等非法数据操作，致使整条业务被一个文件内部极其微小的属性修改值彻底拉崩。篡改完引导部分接着将上述已生成的恶意死字节直接追加向配置所锚定的那条虚假路径处。此函数读取被我们改动的 JSON 配置项，在遍历到配置所含

command），由于该字符串会被容器内的 sh -lc 解析执行，攻击者可通过在 PATH 中注入如 $ (...) 等 shell 元字符，使恶意代码在 shell 解析阶段被提前执行，从而实现任意命令注入。已认证且能够控制环境变量的用户可以影响容器内命令的执行。由于 $ CLAWDBOT_PREPEND_PATH 的值是通过 Docker 的 -e 机制设置的环境变量，其内容不会被二次解析为

sessionMap是ServletExternalContextImpl的成员变量，而ServletExternalContextImpl相当于一个JSF请求的生命周期，我们可以为_sessionMap设定一个Field Watchpoint，以便监听它在整个生命周期中值的变化。自动化寻找反序列化链普遍的思路就是维护一个sink.qll，source.qll，作为sink，source方法的集合

随着人工智能（AI）技术的广泛应用，各类网站纷纷引入AI功能，例如智能客服、AI问诊与AI搜索等。然而，功能的不断丰富也意味着潜在安全风险的相应增加。在日常渗透测试工作中，我时常接触到许多由AI驱动的功能模块。基于长期积累的测试经验，本文将分享我在Web环境中针对AI功能进行安全测试时，通常从哪些方面入手，以及如何有效挖掘潜在漏洞。本文分享了在Web环境中针对AI功能进行安全测试的思路与方法。首先

随着人工智能（AI）技术的广泛应用，各类网站纷纷引入AI功能，例如智能客服、AI问诊与AI搜索等。然而，功能的不断丰富也意味着潜在安全风险的相应增加。在日常渗透测试工作中，我时常接触到许多由AI驱动的功能模块。基于长期积累的测试经验，本文将分享我在Web环境中针对AI功能进行安全测试时，通常从哪些方面入手，以及如何有效挖掘潜在漏洞。本文分享了在Web环境中针对AI功能进行安全测试的思路与方法。首先

本文不涉及任何poc或者exp的构建过程，只有漏洞挖掘过程供参考，感兴趣的师傅可以自行去复现JeecgBoot，github上star 41k的低代码平台，国内企业用的比较多，项目是标准的Spring Boot结构，后端业务走的Spring MVC，MyBatis做持久层3.9.1版本新增了AIRAG模块支持MCP协议，同时字典相关的接口还用的黑名单防注入方案这次审计发现了两类漏洞：AIRAG M