Tencent_SRC的博客

金秋九月，中秋将至！TSRC新活动重磅来袭，附上额外丰厚奖励。诚挚邀请各位白帽师傅参与！三重福利、四倍奖励。全面出击，一起守护安全！福利一：提交活动范围内的高危、严重漏洞最高获4倍安全币。福利二：为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅，TSRC还将授予月度即时现金奖励。福利三：特定严重漏洞，月度即时现金奖励最高可达3~6万元。活动时间即日起~2024/9/3018:00活动范围本次...

前序研究：实战解读：Llama 3 安全性对抗分析近日，腾讯朱雀实验室又针对 Llama 3.1 安全性做了进一步解读。2024年7月23日晚，随着Llama3.1的发布，Meta正式提出了“Llama系统”的概念，通过系统级的安全组件对AI系统进行更好的控制。值得关注的是，去年12月成立的“Purple LLama”项目又新增三大安全组件：Llama Guard 3 、 Prompt Guard...

暑期已至，TSRC发起暑期专项众测，并准备丰厚奖励。三重福利、四倍奖励。这个暑假，让我们一起全面出击，守护安全！福利一：提交活动范围内的高危、严重漏洞最高获4倍安全币。福利二：为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅，TSRC还将授予月度即时现金奖励。福利三：特定严重漏洞，月度即时现金奖励最高可达3~6万元。活动时间一期时间：即日起~2024/9/218:00二期时间：敬请期待‍‍活...

活动时间即日起~2024年7月5日 18:00测试范围：微信公众号、腾讯新闻等测试域名：mp.weixin.qq.com微信公众号相关接口1.微信公众号文章列表2.历史文章3.文章详细内容注：详情报名后公布。反爬虫专项将不定期上线新业务，敬请关注后续公告。标准及奖励外部爬虫有效标准：攻击手法：纯协议脚本、模拟器或真机等有效爬取数量：按照业务规则去重后的公众号文章数量同类型工具（协议挂...

工作生活超强辅助，解锁你的全能搭子！腾讯元宝APP已于5.30上线啦！腾讯元宝，基于混元大模型的AI助手，期望通过AI能力帮助用户在办公、学习、创作、生活等领域提供效率和生活辅助，现已正式上线应用商店，欢迎大家下载体验。点击链接或扫码下载????下载链接：https://hunyuan.tencent.com/为了保障腾讯元宝的安全，针对混元资产下的相关漏洞及情报，TSRC特别发起专项征集活动，诚邀大家...

端午节快到啦，TSRC发起专项众测活动，给你4倍奖励、多倍快乐！福利一：提交活动范围内的高危、严重漏洞最高获4倍安全币。福利二：为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅，TSRC还将授予月度即时现金奖励。福利三：特定严重漏洞，月度即时现金奖励最高可达3~6万元。活动时间2024.5.22 10:00~2024/5/3118:00活动范围本次众测仅针对特定范围业务，具体范围如下：针对财...

引言大模型目前被广泛用于生成代码数据，能有效地提高研发效率。但LLM生成的代码中潜藏的安全漏洞，也成了悬在头顶的达摩克利斯之剑。最近，Llama-3的问世，不仅带来了新的代码生成能力，更配备了Code Shield这一安全检测利器，为LLM生成的代码筑起了一道坚固的防线。腾讯朱雀实验室基于Llama-3开源的Code Shield项目，进行了相关的技术分析和实验测试。总体而言，Code Shiel...

文｜腾讯朱雀实验室Alien、Nicky导语近日，腾讯朱雀实验室发现著名AI社区Hugging Face开源组件datasets存在不安全特性，可引发供应链后门投毒攻击风险。AI开发者使用该组件加载攻击者构造的包含恶意代码的数据集时，会导致PC/服务器被入侵，同时在大模型预训练、微调等场景中，最终还可能导致大模型参数被窃取或篡改。朱雀在此建议大家及时排查，同时也将持续进行大模型基础设施安全研究，分...

文｜应用漏洞扫描Oteam、PCG安全团队MartinzhouI. 背景当前，各类开放平台、依托云原生技术模式的PaaS/SaaS服务涌现，密钥（Credentials / Secrets）成了跨服务、跨平台调用认证的关键一环。短短几十个字符，背后往往通向上万台CVM或者整个业务数据。好似露出洋面的一角冰山，稍往下深挖，底下可能就是牵动企业安全命脉的“金山银山”。当前，针对个人用户登录密码的保护技...

腾讯洋葱入侵检测系统 七夜腾讯蓝军 & TSRC Silence腾讯宙斯盾流量安全分析团队 Pav1、余忆概述今天，腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为，跟进...

作者：pass、neargle @ 腾讯安全平台部前言容器安全是一个庞大且牵涉极广的话题，而容器的安全隔离往往是一套纵深防御的体系，牵扯到AppArmor、Namespace、Capabi...

文｜腾讯蓝军 路飞0x00 前言Ghostscript是一款Adobe PostScript语言和PDF的解释器软件，被诸多著名应用（如ImageMagick）所使用。9月5日，海外安全研...

文｜宙斯盾DDoS防护团队Rocky导语美国时间10月4日中午，Facebook公司网络出现重大故障，故障持续了6个小时后才恢复。官方给出的故障原因，简单来说是一次误操作引发了连锁反应。（...

2050年，高度发达的赛博世界没有给世界带来安宁，无数狂热的黑客组织通过招募的各国特工，潜入目标内部，兴风作浪，试图控制际遇现代网络系统运行的整个系统。然而冥冥之中暗含着转机，在神秘人的牵...

文｜宙斯盾流量安全分析团队彦修引子提到Web指纹识别，大家并不陌生，相关的项目汗牛充栋，比如知名的Wappalyzer、WhatWeb等。而在运营上，各企业也都大同小异，利用提前构建好指纹...

文｜ 腾讯“洋葱”入侵对抗团队bghost前言随着云计算的蓬勃发展，云原生概念被提出并快速发展，公司内部也在推进使用云原生技术进行架构优化，研发模式和基础设施都发生了很大的变化，新的k8s...

文｜腾讯蓝军1. 漏洞概述近日XStream官方发布重要安全更新，修复了14个安全漏洞，其中5个严重漏洞由TSRC向XStream官方报告，通过这些漏洞，攻击者构造特定的XML数据，可...

文｜宙斯盾流量安全分析团队彦修不记得多早之前，大概是2020年9月3号15点37分25秒181毫秒写过一篇信息搜集过程中有关数据分析的文章（原文链接），或许有读者会问，这么精确的时间我为什...

文｜宙斯盾DDoS防护团队RainsDDoS的开始互联网对人类文明的进步影响，不亚于蒸汽机发明对人类文明的影响。当人们享受着网络技术进步给生活带来的便利时，也经历了由于底层协议在设计之初对...

文｜腾讯研发安全团队Martinzhou腾讯蓝军 Neargle、PassI. 背景数月前我们在攻防两个方向经历了一场“真枪实弹”的考验，期间团队的目光曾一度聚焦到Chromium组件上...