基于强化学习生成恶意攻击xss
本文提出了一种基于DQN强化学习的XSS载荷自动生成方法,通过神经网络替代Q表格,结合经验回放和目标网络优化训练。系统包含特征提取(257维向量)、WAF检测(正则规则)和免杀变形(6种字符级操作)三大模块,在Gym框架下实现智能体与WAF的对抗训练。实验表明,经过100轮训练后,智能体可生成有效绕过WAF的XSS载荷,为AI驱动的Web安全测试提供了新思路。
- 3
- 2
- 1gniT42e
- 发布于 2025-05-21 09:00:00
- 阅读 ( 3725 )
1gniT42e
大模型投毒-训练、微调、供应链与RAG解析
人工智能系统的安全范式正从外部防御转向保障其内在的认知完整性。攻击通过污染训练数据、在微调阶段植入后门、利用供应链漏洞以及在推理时注入恶意上下文,旨在从根本上破坏模型的可靠性与安全性
- 1
- 1
- 洺熙
- 发布于 2025-09-04 09:00:02
- 阅读 ( 3634 )
RAG架构大揭秘:三种方式让AI回答更精准,更懂你!
在人工智能飞速发展的今天,我们已经习惯了与各种智能系统打交道,从聊天机器人到智能搜索引擎,它们似乎无处不在。但你有没有想过,这些系统是如何真正理解我们的需求,并给出准确回答的呢?今天,就让我们一起深入探索一下前沿的RAG(Retrieval-Augmented Generation,检索增强生成)技术,看看它如何让AI变得更“聪明”。
- 0
- 0
- Halo咯咯
- 发布于 2025-04-16 09:47:06
- 阅读 ( 3620 )
Halo咯咯
LLM如何安全对齐(基础篇)
AI对齐旨在确保AI系统,其能力与行为同人类的价值观,意图及伦理规范保持一致 本文将系统性梳理AI对齐的基础原则,剖析理论与算法的挑战 1.模型固有的逆向对齐趋势 2.人类偏好非传递性导致的收敛困境 3.安全保障的系统性复杂性
- 0
- 0
- 洺熙
- 发布于 2025-08-21 09:00:03
- 阅读 ( 3546 )
LLM安全交叉领域与从业者技能矩阵
着大型语言模型(LLM)在商业和社会领域的广泛应用,其安全性已成为一项关键议题。本文旨在为LLM安全领域奠定基础,阐述其核心定义、原则、面临的主要威胁,并介绍相关的治理框架,以展示LLM安...
- 1
- 1
- 洺熙
- 发布于 2025-07-04 16:15:01
- 阅读 ( 3542 )
破译之眼:AI重构前端渗透对抗新范式
利用AI一键对抗前端js的可用解决方案,省去以往调试时间,高效对抗js加密或sign校验等
- 4
- 3
- 小惜渗透
- 发布于 2025-06-17 09:00:00
- 阅读 ( 3474 )
小惜渗透
RAG安全攻略:揭秘检索增强生成的风险与防护之道
在人工智能(AI)的浪潮中,Retrieval-Augmented Generation(RAG,检索增强生成)无疑是一颗耀眼的新星。它让AI系统不再局限于训练时的“旧知识”,而是能从海量外部数据中实时检索相关信息,生...
- 0
- 0
- Halo咯咯
- 发布于 2025-08-11 10:00:02
- 阅读 ( 3473 )
LLM 时代下的 SAST :Corgea 方案解读
本文解读了国外公司Corgea提出的结合LLM(大型语言模型)和SAST(静态应用安全测试)的创新解决方案——BLAST(业务逻辑应用安全测试)。其通过CodeIQ语义理解引擎结合AST(抽象语法树)技术,增强传统SAST的检测能力。BLAST能够处理特殊框架行为、减少误报,并通过语义理解检测业务逻辑漏洞。
- 1
- 1
- wh4am1
- 发布于 2025-05-20 09:00:00
- 阅读 ( 3472 )
大模型应用提示词重构攻击
前言 用大模型LLM做安全业务的师傅们一定知道,提示词对于大模型在下游任务的表现的影响是很重要的。 因为大模型本质上是条件概率建模器,其输出严格依赖于输入上下文。在无监督预训练之后,这...
- 0
- 1
- elwood1916
- 发布于 2025-06-03 10:00:02
- 阅读 ( 3443 )
【补天白帽黑客城市沙龙-西安站】AIGC安全实践 –– AI Red Teaming
演讲议题:AIGC安全实践 –– AI Red Teaming
- 2
- 0
- 奇安信攻防社区
- 发布于 2025-04-01 15:46:12
- 阅读 ( 3392 )
奇安信攻防社区
基于影子栈的大模型系统防御技术
在传统系统安全中有一个典型的技术—影子栈(shadow stacks),它可以防御内存溢出攻击。那么类似于影子栈创建一个影子内存空间,如果可以正常栈中建立与目标LLM实例(LLMtarget)并行的影子LLM防御实例(LLMdefense),那理论上就是可以实现防御的
- 0
- 0
- elwood1916
- 发布于 2025-05-09 09:40:07
- 阅读 ( 3295 )
【补天白帽黑客城市沙龙-杭州站】如何训练AI帮我调漏洞
本议题将探讨如何结合大模型与MCP技术,实现对程序的静态分析、动态调试。基于这些技术,可以让AI参与漏洞研究,提升漏洞挖掘效率,并配合实际案例,展示AI在漏洞方面的工作能力。
- 3
- 2
- 奇安信攻防社区
- 发布于 2025-08-13 18:19:36
- 阅读 ( 3196 )
基于树模型对恶意代码的静态分析方法
你将学到什么? ✅ 决策树的数学基础:信息增益 vs. 基尼系数 vs. 增益率,如何影响模型表现? ✅ Bagging vs. Boosting:为什么随机森林能并行,而XGBoost必须串行训练? ✅ XGBoost的工程优化:二阶泰勒展开、正则化、特征重要性如何让预测更精准? ✅ AST(抽象语法树)实战:如何把PHP代码转换成机器学习可用的数值特征? ✅ 调参技巧与评估指标:如何用网格搜索和Fβ分数平衡准确率与召回率?
- 0
- 1
- 1gniT42e
- 发布于 2025-04-30 09:01:48
- 阅读 ( 3094 )
LLM安全基础与各厂商安全策略设计
LLM安全基础 在深入探讨大语言模型(LLM)的安全风险与防护策略之前,建立一个清晰、坚实的基础认知至关重要。这不仅是为了确保后续讨论的有效性,更是因为对核心术语、基本原则及其内在逻辑的...
- 1
- 0
- 洺熙
- 发布于 2025-07-04 16:14:51
- 阅读 ( 3081 )
揭秘AI自动化渗透背后的迷雾
今年是Agent的主旋律,随着近期Blackhat DEFCON 以及各大赛事 会议的开展,AI与安全的话题不断碰撞,在这其中,AI自动化漏洞挖掘/渗透?AI是否能代替人类安全工作人员?或安全怎么才能不被AI代替? 一直是热门的话题 本文将以AI赋能安全方面,至少在明面上来说,目前产品工程与经营都比较完善的XBOW来进行分析 一同观看目前AI for安全的前沿在那一步?
- 3
- 0
- 洺熙
- 发布于 2025-10-22 09:46:28
- 阅读 ( 3041 )
基于条件干预的大模型推理时防御
之前很多研究工作已经表明,大语言模型(LLMs)的一个显著特点是它们能够通过激活中的丰富表示来处理高级概念。这一特性也使得在去年NeurIPS(人工智能顶会)上出现了很多与激活引导(activation steering)等技术的有关的工作
- 0
- 0
- elwood1916
- 发布于 2025-06-05 09:00:00
- 阅读 ( 3034 )
基于注意力操纵的AIGC版权风险规避技术
扩散模型的背后一个很核心的风险就是未授权数据集使用的问题。当然,这种侵权分为两种,一种是使用文生图模型得到的图像,其版权归属问题,比如之前的新闻提到,北京互联网法院全国首例“AI文生图”著作权侵权案获最高法院“两会”工作报告关注
- 1
- 0
- elwood1916
- 发布于 2025-05-26 09:00:02
- 阅读 ( 2947 )
【补天白帽黑客城市沙龙-杭州站】让安全大模型不做花瓶
本议题聚焦于面向复杂场景的模型训练与架构设计,提出多种解决方案提升模型在网络安全场景下的理解与推理能力。在此方案下的实验中,体现了自动渗透、自动修复、自动信息收集、自动打靶、参与CTF竞赛等通用能力,初步具备无需人工干预的通用执行能力。
- 0
- 0
- 奇安信攻防社区
- 发布于 2025-08-13 18:19:34
- 阅读 ( 2889 )
LLM概述与全景解析
LLM概述与全景 1 什么是 LLM? LLM是基于深度神经网络架构的预测模型。在通过在海量的语料库上进行大规模训练,学习并内化语言的统计规律,语义关联及上下文依赖, 训练目标通常是预测序列中的下...
- 0
- 0
- 洺熙
- 发布于 2025-07-04 16:14:46
- 阅读 ( 2786 )