MCP安全攻防技艺(一)
在某互联网大厂工作时做了一些AI相关的安全研究工作,研究了MCP与安全的应用以及MCP本身的安全,本文为MCP应用与安全开篇,带读者深入研究MCP攻防,探讨MCP的核心机制及安全挑战。
- 1
- 1
- Bear001
- 发布于 2025-08-13 09:38:49
- 阅读 ( 2033 )
Bear001
LLM安全交叉领域与从业者技能矩阵
着大型语言模型(LLM)在商业和社会领域的广泛应用,其安全性已成为一项关键议题。本文旨在为LLM安全领域奠定基础,阐述其核心定义、原则、面临的主要威胁,并介绍相关的治理框架,以展示LLM安...
- 1
- 1
- 洺熙
- 发布于 2025-07-04 16:15:01
- 阅读 ( 1825 )
洺熙
AI红队实践学习路线
AI红队实践学习路线 1.人工智能基础 从工程师视角出发,代码驱动,系统思考 这个阶段不仅是学习算法,更是建立一套工程化的思维习惯。你写的每一行代码,都应思考其在整个系统中的位置。一个AI...
- 1
- 1
- 洺熙
- 发布于 2025-07-04 16:14:58
- 阅读 ( 2632 )
隧道代理攻防技术战争手册
本文将深入解析各类隧道代理技术(如ICMP、HTTP、DNS、TCP/UDP等)的实现原理与实战应用,通过具体工具手法(如Ping、cURL、nslookup、Telnet等)演示如何伪装和转发流量,并详细介绍多级隧道代理的搭建方法与技巧,帮助读者掌握隐蔽通信、绕过防火墙限制的核心能力,提升网络渗透与安全防护的实战水平。
- 7
- 1
- Locks_
- 发布于 2025-06-11 10:00:00
- 阅读 ( 3416 )
Locks_
大模型应用提示词重构攻击
前言 用大模型LLM做安全业务的师傅们一定知道,提示词对于大模型在下游任务的表现的影响是很重要的。 因为大模型本质上是条件概率建模器,其输出严格依赖于输入上下文。在无监督预训练之后,这...
- 0
- 1
- elwood1916
- 发布于 2025-06-03 10:00:02
- 阅读 ( 1978 )
绕RASP之内存马后渗透浅析
在RASP的防御下,如何绕过waf以达到反序列化,进而RCE呢?
- 2
- 1
- shushu123456
- 发布于 2025-05-16 09:00:01
- 阅读 ( 2956 )
LLM 时代下的 SAST :Corgea 方案解读
本文解读了国外公司Corgea提出的结合LLM(大型语言模型)和SAST(静态应用安全测试)的创新解决方案——BLAST(业务逻辑应用安全测试)。其通过CodeIQ语义理解引擎结合AST(抽象语法树)技术,增强传统SAST的检测能力。BLAST能够处理特殊框架行为、减少误报,并通过语义理解检测业务逻辑漏洞。
- 1
- 1
- wh4am1
- 发布于 2025-05-20 09:00:00
- 阅读 ( 2160 )
langflow: AI产品AST代码解析执行产生的RCE
本文主要是对langflow这一AI产品进行了漏洞分析,同时通过阅读官方文档的方式对漏洞的利用方式进行了进一步的扩展利用,剖析在AST解析执行的过程中因为`decorator`或者参数注入的方式导致的RCE漏洞的姿势,后续也将其添加到codeql规则中,进行AI产品代码的批量检测与漏洞挖掘
- 2
- 1
- leeh
- 发布于 2025-05-22 09:00:02
- 阅读 ( 2548 )
基于树模型对恶意代码的静态分析方法
你将学到什么? ✅ 决策树的数学基础:信息增益 vs. 基尼系数 vs. 增益率,如何影响模型表现? ✅ Bagging vs. Boosting:为什么随机森林能并行,而XGBoost必须串行训练? ✅ XGBoost的工程优化:二阶泰勒展开、正则化、特征重要性如何让预测更精准? ✅ AST(抽象语法树)实战:如何把PHP代码转换成机器学习可用的数值特征? ✅ 调参技巧与评估指标:如何用网格搜索和Fβ分数平衡准确率与召回率?
- 0
- 1
- 1gniT42e
- 发布于 2025-04-30 09:01:48
- 阅读 ( 2002 )
多智能体系统安全危机:从通信劫持到数据投毒,AI协作背后的隐患
在当今数字化浪潮中,多智能体系统(MAS)正逐渐成为解决问题的新范式。想象一下,一群由大型语言模型(LLM)驱动的智能体,它们各司其职,却又紧密协作,共同完成复杂的任务。这种系统不仅高效、可扩展性强,还能够像人类团队一样灵活应对各种挑战。然而,正如硬币的两面,这些强大的功能也带来了独特的安全风险。
- 0
- 1
- Halo咯咯
- 发布于 2025-04-25 09:33:57
- 阅读 ( 3037 )
Halo咯咯
多智能体系统(MAS):如何让AI团队协作解决复杂问题?
你有没有想过,世界上最复杂的问题,可能并不是靠单一的力量解决,而是通过一群智能体的协作来完成?**多智能体系统(Multi-Agent System, MAS)**正是这样一种技术框架,它允许多个独立的智能体(Agents)通过协作、思考和适应,共同完成复杂任务。
- 0
- 1
- Halo咯咯
- 发布于 2025-05-06 09:00:03
- 阅读 ( 2947 )
我用NodeJS+electron自研了个C2和木马并绕过了360+火绒内存扫描(附源码)
NodeJs可以写后端、electron又可以打包成exe,还可以通过主进程命令执行,那么不就可以自研一个C2了吗?
- 1
- 1
- 小小小小白白
- 发布于 2025-04-15 09:35:44
- 阅读 ( 2912 )
花北城
CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析
前言 朋友圈看到有人转发了一篇“CVE-2024-25600:WordPress Bricks Builder RCE”,感觉挺有意思,点进去看了下,可是从头到尾看得我有点迷糊,本着打破砂锅问到底的原则,本文试图以漏洞挖掘者...
- 0
- 1
- ybdt
- 发布于 2025-03-26 09:35:24
- 阅读 ( 27423 )
Python沙箱逃逸の旁门左道
本文结合CTF真题和作者对Python底层的理解,贡献了不一样的PyJail的绕过手法
- 1
- 1
- 7ech_N3rd
- 发布于 2025-02-08 09:00:02
- 阅读 ( 3293 )
CVE-2024-45507漏洞利用实战:代码分析与自动化检测工具
该项目是一个开源的电子商务平台,提供创建基于最新的J2EE/XML规范和技术标准。各模块之间的功能比较松散,用户可以根据自己的需求进行拆卸整合,非常灵活。该漏洞属于Apache OFBiz中的服务器端请求伪造SSRF漏洞,目前升级到18.12.16版本即可修复该问题。
- 0
- 1
- 白安全组
- 发布于 2025-02-10 10:00:01
- 阅读 ( 29528 )
nbcio-boot代码审计之JS注入攻守道
一、项目地址 https://gitee.com/nbacheng/nbcio-boot.git 默认账号密码为:admin/123456 二、漏洞简介 该系统存在一个JavaScript表达式注入漏洞,本人此前公开披露过此漏洞,于是该系统进行了...
- 3
- 1
- fibuleX
- 发布于 2025-02-07 10:00:00
- 阅读 ( 3131 )
fibuleX