0推荐

1261浏览

基于微调CLIP的多模态大模型安全防御

大模型在各种任务上都有广泛的应用，但是从其本质来说，扩大模型规模意味着需要增加训练数据的数量和多样性，这就需要从网络上抓取数十亿条数据，这个过程是无需人工监督的。 那么这也就会带来隐患，因为其中可能会有很多不适当的、有害的内容。 尽管现在模型的开发者普遍采用了过滤器和自动检查，但这种做法仍然会引入一些不适当的内容，最终导致模型产生不安全、有偏见或有毒的行为。

• 0
• elwood1916 发布于 3天前

0推荐

502浏览

vulnhuntr: LLM与SAST结合的AI产品漏洞自动化挖掘

通过结合静态代码分析和大语言模型（LLM）的方式来批量检测AI产品中的潜在漏洞

• 1
• leeh 发布于 5天前

0推荐

454浏览

基于嵌入扰动的大模型白盒越狱攻击

大模型（以下均用LLMs指代）发展迅速，但引发了大家对其潜在滥用的担忧。虽然模型开发者进行了大量安全对齐工作，以防止 LLMs 被用于有害活动，但这些努力可被多种攻击方法破解，典型的就是在社区里多篇文章中一直在强调的越狱攻击。这些攻击方法能找出安全对齐技术的漏洞，促使开发者及时修复，降低 LLMs 带来的安全风险

• 0
• elwood1916 发布于 2025-04-24 09:39

0推荐

1849浏览

浅谈AI部署场景下的web漏洞

总结了一些部署过程中出现可能的漏洞点位，并且分析了对应的攻防思路

• 1
• 7ech_N3rd 发布于 2025-04-09 17:30

0推荐

10023浏览

面向大模型的生成-利用式越狱攻击

目前做安全大模型或者说做大模型安全，基本都会有必要的两步，分别是对齐以及红队。 因为随着大模型在各种应用场景中的广泛使用，越来越多的人开始担忧这些模型可能被滥用，尤其是在传播有害或不道德内容方面。由于这些模型的开放性和广泛的使用群体，它们的潜在风险也变得更加显著。开放源码的语言模型尤其令人担忧，因为其代码和训练数据是公开的，任何人都可以访问、修改甚至恶意利用

• 0
• elwood1916 发布于 2025-04-07 10:00

0推荐

1355浏览

Pydash set方法原型链污染漏洞分析：以Bottle框架环境变量泄露为例

NCTF遇到了一道pydash题目，似乎与SUCTF2025出的一道SU_blog都是这个知识点，遂想基于这道题分析一下链子。其实还可以结合idekctf那道题

• 0
• 梦洛 发布于 2025-04-02 09:46

1推荐

14295浏览

CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析

前言 朋友圈看到有人转发了一篇“CVE-2024-25600：WordPress Bricks Builder RCE”，感觉挺有意思，点进去看了下，可是从头到尾看得我有点迷糊，本着打破砂锅问到底的原则，本文试图以漏洞挖掘者...

• 0
• ybdt 发布于 2025-03-26 09:35

2推荐

17036浏览

【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析

1.背景 1.1 家族介绍 Medusa家族是一种主要针对基于Windows环境的勒索软件即服务（RaaS），自2021年6月起活跃。该勒索软件在2023年初因其活动升级而广为人知，特别是与其专用泄露网站Medusa Blo...

• 0
• solar专业应急响应团队 发布于 2025-03-19 09:30

13推荐

18265浏览

一次奇妙的降价支付逻辑漏洞挖掘之旅

字字经典，本文以上帝视角，带你洞察整个主流支付功能背后的逻辑，之后再轻挥衣袖，实现降价支付！

• 6
• 新人小安 发布于 2025-03-17 09:00

0推荐

19273浏览

一次渗透过程中的CVE-2022-45460撞洞RCE

在一次渗透中我们遇到了雄迈（XiongMai）的uc-httpd，这是一款被全球无数网络摄像机使用的轻量级Web服务器。根据Shodan的数据，大约有7万个该软件的实例在互联网上公开暴露。尽管这款软件存在严...

• 1
• jentleTao 发布于 2025-03-12 09:00

0推荐

20440浏览

vaadin反序列化链挖掘：tabby静态分析实践

在学习前面几条链子的基础上，结合静态分析工具在前面的基础上的一些小发现，包括vaadin的新利用方式以及对tabby的检测缺陷的总结

• 0
• leeh 发布于 2025-03-07 09:00

2推荐

1577浏览

从开发者视角解析Gin框架中的逻辑漏洞与越权问题

以go的gin后端框架为例子，详细剖析了各种逻辑越权漏洞的成因已经对应防范手段，也为白帽子提供挖掘思路

• 1
• 7ech_N3rd 发布于 2025-02-28 09:04

0推荐

24366浏览

某CRM代码审计之旅-多漏洞绕过与发现

某CRM的代码审计之旅

• 0
• 中铁13层打工人 发布于 2025-02-26 09:57

7推荐

2059浏览

如何通过利用源 IP、IDOR 和信息泄露漏洞绕过 WAF 来发现 SQL 注入漏洞（翻译转载）

在本文中，我将通过一次对斯里兰卡当地最大的供电局网站中的实战SQL注入挖掘分享如何通过利用源IP、IDOR和信息泄露漏洞绕过WAF来发现SQL注入漏洞

• 2
• Gus616 发布于 2025-02-21 09:00

1推荐

27243浏览

从deepseek未授权探索clickhouse命令执行

探索clickhouse利用方式

• 1
• Unam4 发布于 2025-02-20 09:00