1推荐

1093浏览

飞塔防火墙漏洞层次深度利用

包括飞塔防火墙的完整调试搭建环境，以及对任意飞塔防火墙可以执行程序流后，写了多种利用方式，包括已经存在busybox的模拟环境进行远程开ssh连接，不存在busybox 用tftp拉取busybox但是没权限用nodejs渲染解决的流程，和不同获取busybox的方式 可以用tftp去攻击机拉取，nodejs拉取并且赋权，也可以js模拟wget请求，nodejs拉取并且赋权，很好的解决了飞塔防火墙本身自带shell被阉割的问题

• 0
• sn1w 发布于 2025-07-07 09:00

0推荐

835浏览

OpenJDK JMH反序列化漏洞挖掘分析

JMH,即Java Microbenchmark Harness,是专门用于代码微基准测试的工具套件。主要是基于方法层面的基准测试,精度可以达到纳秒级。该组件存在一个未被别人公开过但目前来说实战意义不大的反序列化漏洞，仅可当作思路阅读

• 0
• novy 发布于 2025-07-01 09:00

3推荐

1667浏览

契约锁JDBC RCE漏洞分析

契约锁JDBC RCE漏洞分析

• 0
• 中铁13层打工人 发布于 2025-06-27 10:00

0推荐

1431浏览

H2 RCE在JRE 17环境下的利用-续集

@X1r0z 师傅的《H2 RCE在JRE 17环境下的利用》文章的后续挖掘发现

• 1
• c3p0ooo! 发布于 2025-06-23 09:35

0推荐

1348浏览

【病毒分析】888勒索家族再出手！幕后加密器深度剖析

1.背景 2025年3月，Solar应急响应团队成功捕获了888勒索家族的加密器样本。实际上，我们最早接触该家族是在2024年10月，彼时888家族活跃度极高，频繁针对医疗行业发起攻击，受害对象以药店、医...

• 0
• solar专业应急响应团队 发布于 2025-06-16 09:00

0推荐

1089浏览

基于条件干预的大模型推理时防御

之前很多研究工作已经表明，大语言模型（LLMs）的一个显著特点是它们能够通过激活中的丰富表示来处理高级概念。这一特性也使得在去年NeurIPS（人工智能顶会）上出现了很多与激活引导（activation steering）等技术的有关的工作

• 0
• elwood1916 发布于 2025-06-05 09:00

1推荐

1329浏览

大模型应用提示词重构攻击

前言 用大模型LLM做安全业务的师傅们一定知道，提示词对于大模型在下游任务的表现的影响是很重要的。 因为大模型本质上是条件概率建模器，其输出严格依赖于输入上下文。在无监督预训练之后，这...

• 0
• elwood1916 发布于 2025-06-03 10:00

0推荐

1090浏览

基于注意力操纵的AIGC版权风险规避技术

扩散模型的背后一个很核心的风险就是未授权数据集使用的问题。当然，这种侵权分为两种，一种是使用文生图模型得到的图像，其版权归属问题，比如之前的新闻提到，北京互联网法院全国首例“AI文生图”著作权侵权案获最高法院“两会”工作报告关注

• 1
• elwood1916 发布于 2025-05-26 09:00

1推荐

1782浏览

langflow: AI产品AST代码解析执行产生的RCE

本文主要是对langflow这一AI产品进行了漏洞分析，同时通过阅读官方文档的方式对漏洞的利用方式进行了进一步的扩展利用，剖析在AST解析执行的过程中因为`decorator`或者参数注入的方式导致的RCE漏洞的姿势，后续也将其添加到codeql规则中，进行AI产品代码的批量检测与漏洞挖掘

• 2
• leeh 发布于 2025-05-22 09:00

0推荐

1601浏览

基于概念擦除的AIGC防侵权技术

最近的文生图模型因为卓越的图像质量和看似无限的生成能力而受到关注。最近出圈，可能是因为openai的模型可以将大家的图像转变为吉卜力风格。

• 0
• elwood1916 发布于 2025-05-12 10:14

0推荐

1408浏览

基于影子栈的大模型系统防御技术

在传统系统安全中有一个典型的技术—影子栈（shadow stacks），它可以防御内存溢出攻击。那么类似于影子栈创建一个影子内存空间，如果可以正常栈中建立与目标LLM实例（LLMtarget）并行的影子LLM防御实例（LLMdefense），那理论上就是可以实现防御的

• 0
• elwood1916 发布于 2025-05-09 09:40

0推荐

14886浏览

基于微调CLIP的多模态大模型安全防御

大模型在各种任务上都有广泛的应用，但是从其本质来说，扩大模型规模意味着需要增加训练数据的数量和多样性，这就需要从网络上抓取数十亿条数据，这个过程是无需人工监督的。 那么这也就会带来隐患，因为其中可能会有很多不适当的、有害的内容。 尽管现在模型的开发者普遍采用了过滤器和自动检查，但这种做法仍然会引入一些不适当的内容，最终导致模型产生不安全、有偏见或有毒的行为。

• 0
• elwood1916 发布于 2025-04-29 09:00

0推荐

2071浏览

vulnhuntr: LLM与SAST结合的AI产品漏洞自动化挖掘

通过结合静态代码分析和大语言模型（LLM）的方式来批量检测AI产品中的潜在漏洞

• 1
• leeh 发布于 2025-04-27 09:43

0推荐

1669浏览

基于嵌入扰动的大模型白盒越狱攻击

大模型（以下均用LLMs指代）发展迅速，但引发了大家对其潜在滥用的担忧。虽然模型开发者进行了大量安全对齐工作，以防止 LLMs 被用于有害活动，但这些努力可被多种攻击方法破解，典型的就是在社区里多篇文章中一直在强调的越狱攻击。这些攻击方法能找出安全对齐技术的漏洞，促使开发者及时修复，降低 LLMs 带来的安全风险

• 0
• elwood1916 发布于 2025-04-24 09:39

0推荐

3342浏览

浅谈AI部署场景下的web漏洞

总结了一些部署过程中出现可能的漏洞点位，并且分析了对应的攻防思路

• 2
• 7ech_N3rd 发布于 2025-04-09 17:30