文章标题:基于图像的提示注入:通过视觉嵌入劫持多模态大模型
文章链接:基于图像的提示注入:通过视觉嵌入的对抗性指令劫持多模态大语言模型
所属领域:AI
推荐理由:文章聚焦多模态模型的提示注入新路径,强调图像载荷对指令对齐的绕过能力。对 AI 应用红队测试和输入安全加固有直接参考价值。
文章标题:Re0(2) - OpenClaw 到底为什么爆火
文章链接:Re0(2) - OpenClaw到底为什么爆火?
所属领域:AI
推荐理由:从架构和生态角度拆解 OpenClaw 爆发原因,有助于理解 AI Agent 工具链的攻防面变化。对评估新平台安全边界很有价值。
文章标题:实战记录:某众测项目渗透测试随记
文章链接:实战 | 某众测项目随记
所属领域:渗透
推荐理由:包含真实众测场景下的测试路径与问题定位过程,偏实操导向。适合渗透测试人员借鉴目标拆解和漏洞验证思路。
文章标题:EasyTools 渗透测试工具箱 V2.1.8 更新说明
文章链接:EasyTools渗透测试工具箱V2.1.8更新(1.优化端口扫描规则,提高扫描效率; 2.重新设计ssh、ftp界面; 3.优化各数据库数据展示)
所属领域:工具
推荐理由:更新内容聚焦端口扫描效率与常用模块可用性,直接影响实战测试效率。对日常渗透工具选型和流程优化有现实价值。
文章标题:使用 Zoomeye 与 AiPy 捕获 Coruna 样本
文章链接:使用Zoomeye 和 AiPy 捕获 Coruna 样本
所属领域:网络安全
推荐理由:展示了从测绘到样本捕获的落地方法,覆盖威胁狩猎关键步骤。对情报驱动的恶意样本搜集很有借鉴意义。
文章标题:Ingress-Nginx 注入漏洞可导致集群密钥泄露
文章链接:Kubernetes安全预警Ingress-Nginx注入漏洞可致集群密钥全局泄露
所属领域:网络安全
推荐理由:该漏洞直指 Kubernetes 控制面关键资产,影响面广且风险高。适合用于容器集群紧急排查与防护优先级评估。
文章标题:Budibase 高危漏洞导致生产密钥泄露
文章链接:Budibase存在高危漏洞 可导致生产环境密钥全面泄露
所属领域:网络安全
推荐理由:文章关注低代码平台中的密钥暴露风险,具备较强通用性。对企业内部平台安全审计和密钥治理很有指导意义。
文章标题:GhostClaw 伪装 OpenClaw 窃取开发者设备数据
文章链接:GhostClaw伪装成OpenClaw窃取开发者设备数据
所属领域:红队
推荐理由:体现了供应链伪装与开发者投递攻击的结合方式,攻击面贴近真实研发环境。对开发终端防护和来源校验策略很关键。
文章标题:虚假开发者面试投递恶意软件攻击分析
文章链接:虚假开发者面试投递恶意软件攻击分析
所属领域:红队
推荐理由:微软披露了以招聘流程为载体的社工投递链,具备高度现实威胁。对红蓝双方演练社会工程与终端检测能力都很实用。
文章标题:ERC-4337 智能账户中的六个常见安全错误
所属领域:网络安全
推荐理由:由审计团队总结账户抽象实现中的高频失误,偏代码级安全问题。对 Web3 合约审计和架构设计都有较高参考价值。
文章标题:PostMessage 配置错误与提示注入链导致 XSS 和数据外泄
文章链接:PostMessage Misconfiguration + AI Prompt Injection + Sandbox Escape = XSS & Data Exfiltration
所属领域:渗透
推荐理由:文章组合了前端通信、AI 注入与沙箱逃逸的复合攻击链,技术含量高。对 Web 安全测试中的跨组件联动漏洞挖掘很有启发。
文章标题:AI 聊天机器人中的 XSS 绕过到零点击接管
文章链接:XSS Bypass to Zero Click Account Takeover in AI Chatbot
所属领域:渗透
推荐理由:展示了从 XSS 绕过到账户接管的完整利用链,强调零点击场景的实战风险。适合用于 AI Web 应用的高危测试用例设计。
文章标题:智能体对智能体攻击正在到来:用 API 安全经验加固 AI 系统
文章链接:智能体对智能体攻击正在到来:用 API 安全经验加固 AI 系统
所属领域:AI
推荐理由:文章将 API 安全方法映射到 Agent 交互场景,具备前瞻性和可落地性。对构建 AI 系统威胁建模框架帮助很大。
文章标题:当代理成为攻击向量:Web 架构中的反向代理头攻击
文章链接:当代理成为攻击向量:Web 架构中的反向代理头攻击
所属领域:渗透
推荐理由:聚焦代理层信任边界错误导致的攻击面扩展,属于常被忽略的高价值问题。对企业网关与上游应用联调安全审计非常实用。
文章标题:扫描器基准测试内幕:架构、漏洞复现与检测覆盖对比
所属领域:工具
推荐理由:文章提供了多类扫描器在真实应用结构下的检出差异,包含具体漏洞 walkthrough。对工具评估和漏洞管理流程优化价值很高。
文章标题:Linux Netfilter 匿名集合 UAF 漏洞复现与利用分析
文章链接:Linux Netfilter 匿名集合 UAF 漏洞 (CVE-2023-32233) 复现与利用分析
所属领域:CTF
推荐理由:内容覆盖内核漏洞复现、触发条件和利用关键点,技术深度较高。对内核安全研究和高质量 CTF/PWN 训练都很有帮助。
文章标题:从 ChatGPT 的疏忽到完全访问 GitHub 的隐蔽攻击路径
文章链接:从ChatGPT的疏忽到完全访问GitHub:无人察觉的攻击路径
所属领域:红队
推荐理由:文章强调 AI 工作流与代码托管平台的联动风险,具备现实攻击迁移价值。对权限边界梳理与令牌安全治理有直接指导作用。
文章标题:ClaudeOpus4.6 发现 Firefox 22 个安全漏洞
文章链接:ClaudeOpus4.6发现Firefox22个安全漏洞,AI自主漏洞研究实现关键突破
所属领域:AI
推荐理由:该文聚焦 AI 自主漏洞挖掘能力边界,体现模型在真实漏洞发现中的可行性。对安全研究自动化方向有较强前沿参考意义。
文章标题:当心“龙虾”变“毒蝎”:GitHub 获取的 OpenClaw 可能带毒
文章链接:当心“龙虾”变“毒蝎”:你在GitHub上领的“龙虾”可能有毒!
所属领域:红队
推荐理由:重点讨论热门开源项目相关的投毒与伪装分发风险,紧贴当前供应链攻防热点。对下载源验证和开发环境基线建设很重要。
文章标题:通报 OpenClaw 近期多个安全漏洞
文章链接:通报openclawd 近期多个安全漏洞
所属领域:网络安全
推荐理由:该文汇总了 OpenClaw 近期集中暴露的问题,适合快速了解风险面。对使用方进行版本盘点、补丁和隔离策略制定有帮助。
文章标题:Hackviser 密码学挑战解题全流程
文章链接:Hackviser — Cryptanalysis walkthrough
所属领域:CTF
推荐理由:文章完整展示密码学题目的分析与破解步骤,偏方法论和实操并重。适合 CTF 选手提升解题链路设计和复现能力。