越来越多的企业正在从观望转向实战，发现了AI在实际业务中的巨大价值。数据不会撒谎。根据Gartner高级研究总监闫斌的预测，到2027年，优先考虑AI就绪型数据的准备而非生成式AI模型开发的中国企业中，80%实现的业务价值将是同行的两倍；通过正式建立AI治理而在生产环境中扩展生成式AI和代理型AI用例的中国企业，其实现的业务价值将比没有建立治理架构的企业高出50%以上。**AI****产生商业价值

【模安局导读】回顾这一年，AI 安全的关注重心从年初的大模型安全，演进至年中的智能体安全，并在年底指向隐约浮现的人机关系安全，整体脉络愈发清晰。其间，内容、数据、网络与 AI 安全深度交织，政策、标准、框架、技术与产品协同推进；传统安全厂商与大模型公司正面交锋，科技巨头与创业团队纷纷入场。竞争与合作并存，风险与机遇共生，共同勾勒出这一年 AI 安全演进的时代图景。这一年，大模型以一种几乎不讲道理的

哪怕就在几年前，大语言模型（LLMs）的不可预测性就已经会带来严重挑战。一个早期典型案例与 ChatGPT 的搜索工具有关：研究人员发现，即便页面中存在相反信息，植入了隐藏指令（例如嵌入的提示注入文本）的网页，仍能稳定诱导该工具输出带有偏见、具有误导性的内容[1]。AI 智能体通常基于大语言模型构建，继承了后者的诸多漏洞，包括提示注入、敏感数据泄露、供应链缺陷等。但 AI 智能体还超越了传统 LL

GHOSTCREW是一款具有变革意义的开源红队与渗透测试工具包。这款AI驱动的助手利用大语言模型技术，集成MCP协议，并支持可选的RAG架构，通过自然语言指令协调各类安全工具。该项目由GH05TCREW团队开发，已在GitHub获得超过450个星标，显示出信息安全社区的强烈关注。其支持自主Agent模式、预定义工作流和Markdown报告生成功能，能够从侦察到漏洞利用全流程简化复杂渗透测试。该工具

2025这一年，AI安全从热切讨论走向落地务实，数据合规从宏观倡导转为可操作的监管行动，网络安全法案修订的靴子终于落地，攻防演练则成为验证安全能力的常规手段……📣 时代的注意力总是更快落于更新的热点，人们讨论#DeepSeek，讨论#Agent，讨论一切“未来已来”的故事。👪 然而，在每一次技术跃迁与合规落地的高歌猛进之下，真正持续的，是那些。因此，我们发起了一次征集，邀请了身处其中的安全人分

元旦跨年，既是时间的节点，也是职业规划的新起点。随着数字化进程的加速，网络安全已成为守护数字经济的核心防线，行业人才缺口持续扩大。据权威数据显示，年国内网络安全人才缺口突破万，年这一数字仍将持续攀升，优质网安人才的薪资水平更是逐年上涨。站在年的开端，把握行业新趋势，才能精准布局职业发展。今天，我们就为大家拆解年网络安全行业最值得关注的5大核心方向，帮你找准发力点，实现职业进阶。随着大模型、生成式的

2025年，AI热潮席卷全球的同时，网络安全领域亦暗流涌动。远程办公的安全漏洞、量子计算对加密体系的冲击、地缘政治引发的政策变动，让这一年的网络空间格外不平静。网络安全早已跳出专业人士的“专属议题”，渗透到工作生活的各个环节——小到个人电脑的系统升级，大到国家关键设施的防护，都暗藏安全密码。这一年，安全防御从“被动堵漏洞”转向“主动建韧性”，攻击与防御的较量持续升级，人才缺口进一步扩大。今天，我们

Unauthorized-Vul是一款由python语言编写，为安全从业人员设计的一个未授权访问漏洞批量检测工具。它集成了常见的40多种未授权访问漏洞，包括但不限于ollama、swagger、springboot、docker、k8s、ftp和数据库相关的组件相关的未授权访问漏洞。并且支持多线程，批量扫描。它号称是最全的未授权访问漏洞批量检测工具有兴趣的师傅可以试试。

01什么是间接提示注入攻击间接提示注入(IPIA)于2023年5月首次正式被认定为一种漏洞利用。如下图，上边是指提示注入攻击，下边是指间接提示注入攻击。它通过使用恶意的三方数据来完成攻击。几乎所有的AI应用都涉及到三方数据，这种攻击有广泛的适应性。02间接提示攻击的攻击过程序列总体攻击过程如上图1.攻击者将恶意提示注入到他们知道LLM的资源中2.根据受害用户请求，LLM读取此资源。3.LLM访问资

然后通过协议，构造file:///C:/Users/yeqiu，那么URL就是：http://192.168.254.129/pikachu-master/vul/ssrf/ssrf_curl.php?然后就可以使用https://monojson.com/s/RS6PV来替代http://127.0.0.1/pikachu-master/test.php，最重要的是每个网站生成的短链接都是不一样