- 博客(559)
- 资源 (22)
- 收藏
- 关注
RSS订阅
原创 AI用户务必关注,Langflow未授权RCE分析(CVE-2026-33017)
(注:对于美国联邦机构来说,一旦漏洞进入 KEV,必须在 CISA 指定的截止日期内(通常是 2-3 周内)完成修复。AI正在进入我们的方方面面,AI工作流平台降低了技术门槛,不了解技术手段安全实践的企业和个人也在陆续入局,这使得AI工作流平台势必成为新的攻击面。CVE-2026-33017的修复更复杂:因为端点本应无需认证(public flow场景),不能简单加认证。攻击者在漏洞披露后20小时内就开始利用该漏洞。该项目沿用行业内众多软件的快速部署的思路,用户容易忽略安全配置,沉溺在方便快捷的喜悦当中。
2026-03-27 16:42:19
237
原创 供应链预警|LiteLLM、Apifox两起供应链投毒事件,请尽快应急
经监测发现,因未严格启用sandbox参数,并暴露了Node.js的API接口,导致攻击者可通过JavaScript控制Apifox的终端——三个平台均受影响。Python的.pth文件是一种特殊文件,放在site-packages/目录下后,无需显式import,Python启动时就会自动执行其中的代码。先是LiteLLM——AI圈几乎人手一个的大模型API封装库——在PyPI上被投毒,40k+ stars的热门项目,一夜之间成了窃密工具。攻击者拿到了一些关键访问凭据,但没有声张,继续潜伏。
2026-03-27 16:37:43
254
原创 OpenClaw从爆火到爆雷,结构性安全风险的危害究竟有多大
有人让OpenClaw帮忙处理文件,结果它调用了删除接口,清空了整个业务数据目录,价值数百万的业务数据,没了。你让AI发个消息,它自己登录微信或飞书,以你的身份发出去。一个恶意的Skill——比如"帮你优化Prompt"或者"给你推荐好用的AI工具"——只要它读取了这个文件,它就能把你的API Key、Telegram Token、GitHub Token全部外发。如果你的员工电脑上有公司Git仓库的访问权限,有内网VPN的凭证,有飞书的企业账号,OpenClaw被打穿就等于这些全部泄露。
2026-03-23 14:06:57
340
原创 安全验证的困境:为什么我们一直在“盲人摸象“?
说实话,这类趋势分析我以前是不太想写的——满篇都是什么"范式转移"、"颠覆性创新"、"AI赋能",看完了也不知道到底跟我有什么关系,与其看这些,不如去喝杯茶。这意味着现在的AI安全工具本质上还是在做"已知漏洞匹配",而不是真正的"安全思考"。但如果你已经有一套相对成熟的安全体系,各个环节都有人在负责,Agentic确实能帮你连接那些碎片,让安全验证从一个"动作"变成一个"过程"。前几年我做一个安全评估,发现了一个存储型XSS,按照标准流程,这是高危漏洞,要立刻修复,要写报告,要通知管理层,要跟踪修复进度。
2026-03-17 09:56:07
335
原创 AI安全应用实战复盘:一场2小时的深度交流,我们聊了什么?
像之前说的,成熟的漏洞类型(SQL注入、文件上传,反序列化)用传统工具扫就可以了,AI的价值在于分析业务逻辑、发现逻辑漏洞。简单说就是在AI和你的Key之间加一层代理,你的Key只存在代理服务器上,OpenClaw只知道代理的地址。师傅分享了一个特别典型的问题:他让AI跑一个网段的端口扫描,结果AI陷入了"命令行沉迷"——跑久了就报错,报错就重试,重试又报错,无限循环。AI在等待工具执行结果的时候,它的注意力都在"工具有没有执行成功"这件事上,如果工具执行时间太长,它就会焦虑,会不断尝试。
2026-03-12 10:40:12
393
原创 Docker青龙面板挖矿入侵事件应急复盘
既然不是什么核心业务,于是并没有尽快处理(别学我,高危漏洞要秒修),顺便保留了现场。那天我发现最近在青龙面板运行的脚本不再运行了,并且在互联网发现最近几天流行青龙面板的相关POC,感觉可能该服务器也可能受到相关影响。根据这个释放的文件可以知道:攻击者执行的这个脚本,将文件都给下载加载到 /tmp/.tmp下了,而且还写日志到了这个目录里。教训 :如果业务重要,这时候应该先备份数据卷,但我这个容器本来就是 unhealthy,直接进去看了。输出很干净,没有异常进程,没有奇怪的 CPU 占用。
2026-03-10 22:56:25
326
原创 OpenAI Codex Security对于思考当下安全人员价值的意义
这是一个专门做应用安全的AI工具,官方说法是:30天扫描了120万次代码提交,发现了792个关键漏洞,10561个高危问题。真正的黑客思维是"能不能突破",AI目前不具备这种主动思考能力。GPT-4的能力受限于训练数据,之后出现的新漏洞、新攻击手法,AI是不知道的。当然,这不是解决不了的问题,但存在问题可以得到解决的可能性,恰恰又回归到人类安全专家的价值本身。对于全新的攻击手法、AI从未见过的漏洞类型,它是识别不出来的。我的观点:我没有太偏向的情绪,这是技术发展的必然,我们应该积极面对一切改变。
2026-03-10 00:06:05
353
原创 由CISA紧急通报海康威视与罗克韦尔漏洞引发的思考
2026年3月5日,CISA在其著名的"已知被利用漏洞目录"(Known Exploited Vulnerabilities Catalog,简称KEV)中新增了5个严重漏洞,其中最引人关注的,是两个CVSS评分高达9.8分的关键基础设施漏洞——海康威视(Hikvision)身份认证绕过漏洞和罗克韦尔(Rockwell)凭证保护不足漏洞。CVE-2017-7921和CVE-2021-22681——两个"老"漏洞,一个2017年披露,一个2021年披露,却在2026年仍被CISA点名"必须修复"。
2026-03-06 20:24:11
601
原创 国外执法部门重拳出击:一天端掉两个网络犯罪平台
2026年3月,欧洲刑警组织(Europol)联合多国执法机构捣毁了这个平台,逮捕了平台开发者——来自巴基斯坦的Saad Fridi。攻击者拿到cookie后,可以直接"继承"用户的登录状态,无需知道密码也能登录。历史经验表明,类似的论坛被查封后,往往会有新的平台填补空缺。LeakBase是一个在暗网运行多年的凭证交易论坛,主要买卖被盗的用户名、密码、邮箱地址,以及各种网络犯罪工具。行动完成后,LeakBase的首页已经替换为执法部门的警告横幅,上面写着:"此域名已被美国联邦调查局扣押"。
2026-03-05 22:10:47
396
原创 OpenClaw惊爆“ClawJacked“漏洞:AI Agent已被静默接管?
昨天小隐(千里's Claw&Friend)刷Twitter,看到Oasis Security发了一条推,说发现了OpenClaw的一个高危漏洞,名字叫ClawJacked。当然了,在对Openclaw如此授权的情况下,部署Agent服务的机器权限也就被接管了。结果好家伙,OpenClaw本身就有漏洞。这是一个零点击漏洞——你只需要开着OpenClaw去访问一个恶意网站,攻击者就能静默接管你的AI Agent。坏消息是:这是一个典型的"发现即利用"漏洞——在公开之前,很可能已经被利用过了。
2026-03-05 22:10:11
524
原创 币安Skills Hub:散户的“机构级超能力“来了
Binance Skills的出现,不只是币圈skill从0到1那么简单,要知道,在加密货币市场,散户最缺的从来不是那点本金,而是信息差、专业能力和执行力。现在只需要一句话,你就能给自己的AI Agent装上一个"币安级别"的大脑。"今天新上市或迁移成功的Meme币中,24h交易量/市值比 > 1.8且持有人增长>400%的前8个。"过滤出过去2小时内置信度≥0.78的做多信号,要求预期最大收益≥2.2x,建议止损≤-22%。"查询我所有现货持仓中,过去4小时浮盈>12%的币种,按盈亏金额倒序排列。
2026-03-05 22:09:29
606
原创 AI代码审计Skill实战:从0到1的构建指南
年前我们开始折腾Code Audit Skill,初衷很简单——不是为了蹭热点,而是发现这玩意儿确实能提升工作效率。什么样的工作适合做成Skill?重复性的,有明确流程的,能大幅节省时间的。这就是我们定义Skill的方式:像菜单一样,像武功秘籍一样。
2026-03-03 19:23:28
473
原创 OpenClaw安全指南:理性发展AI
我们应该如何看待AI工具?一方面,AI确实能大幅提升效率。OpenClaw就是一个很好的例子,它让很多人第一次体验到了"AI助手"的便利。但另一方面,AI工具的安全风险是真实存在的,而且往往被低估。很多用户被AI的强大功能吸引,却忽视了潜在的风险。拥抱AI,但不要盲目相信技术,但保持警惕享受便利,但记住安全OpenClaw的创始人Peter Steinberger在项目的Discord里说过一句话:“如果你看不懂怎么运行命令行,这个项目对你来说太危险了。这既是提醒,也是事实。
2026-03-01 20:03:59
1244
原创 致所有安全从业者:AI不是敌人,是时候拥抱它了
放大人与人之间的差距,放大人的上限,放大我们思考问题、解决问题、闭环问题的能力。所以我的结论是,AI让优秀的人更优秀,让没时间思考的人有时间思考。我不想做那个被淘汰的人,我也不希望读到这篇文章的每一位兄弟被淘汰。让我们一起,用AI放大自己的能力,实现更多人生的可能。你不用AI,就是开着大刀长矛,去和别人的机关枪打。真正淘汰人的,不是技术,而是拒绝拥抱技术的人。不是AI让他失业了,是拥抱AI的他变得更强了。我想和少侠们一起,拥抱AI,成为更强的安全人。很多人把AI想象成一个“抢饭碗”的敌人。
2026-02-28 21:44:43
618
原创 网安人必看!我做了个漏洞报告生成Skill,效率大幅提升
各位少侠好,我是千里。最近鼓捣了一个新东西——安全报告编写助手,今天来给大家分享一下这段时间探索 AI Agent Skill 的阶段性成果。
2026-02-27 01:12:23
558
原创 圆桌会议复盘,WAF/HIDS建设如何走出告警泥潭?
另有少侠反馈,从乙方安服转向甲方安全人员的过程中,负责WAF/HIDS等工具的使用和优化,不太清楚如何接手,这个问题既要求安全人员能够灵活攻防角色转换,还需要真正达成知己知彼。传统的静态白名单维护成本大且容易被利用,已有很多厂商利用机器学习提取业务特征(如特定的服务调用关系、进程读写路径)构建动态基线,是当前EDR/CWPP产品的一大核心趋势,如通过识别“java.exe总是由systemd启动”这类确定性行为链,结合进程上下文分析,可以有效防止攻击者在白名单覆盖范围内的伪装行为。
2026-02-21 22:35:16
617
原创 网安人如何开发AI Agent Skill?如何打造可复用数字资产?
其实做Skill的逻辑很简单,就是把具体场景的做事规则、专业知识整理好,打包成标准化的模块。不管是个人还是团队,都能把零散的经验变成可复用的数字资产,个人提高工作效率,团队能统一执行标准,新人上手也更快。单个Skill解决一个小问题,多个Skill组合起来,就能完成复杂的工作流,让AI的能力真正落地到日常工作中。
2026-02-21 22:21:09
920
原创 《千里Trace,安全无界》开篇:跳出认知盲区,追溯安全的本质
Hi,各位少侠,我是东方隐侠安全团队的千里。这是我开启全新个人网安系列作品《千里Trace,安全无界》的第一篇文章。开这个系列,一是希望能把自己所思所想进行记录与归纳,供大家借鉴;二是希望能帮助一些入门者、迷茫者、努力者、困苦者带来一定的思考,为行业的不断成熟奉献一份微薄之力。这个系列每一节的形式都不固定,有长文、视频、直播、动画等等,我也希望借此拓宽个人的能力。另外,如有一些收入,无论多寡,结束时所得的一定比例将用于公益捐献。也希望大家共同关注联合国公益基金会或国内公益平台的相关活动,谢谢。那么我们开门见
2026-01-16 21:31:24
954
原创 第17节 1999年Melissa病毒席卷全球
Melissa造成的主要损失是生产力中断,据FBI报告,病毒感染了全球20%的商业电脑,北美最重。于是微软紧急发布补丁,禁用Outlook的自动化脚本访问,其他公司如Intel和Microsoft关闭邮件服务器数日,清理感染。回顾历史,Melissa不是首个宏病毒,但首个实现全球蠕虫式传播,它证明了邮件作为载体的效率,结合社会工程,放大破坏。他于1999年4月1日被捕,后承认罪行,被判5年监禁,但实际服刑20个月并罚款5000美元。在全球互联中,这样的病毒事件如镜像,映照出人类社会的脆弱与适应。
2025-11-13 11:54:04
239
原创 第16节 1998 年 CIH 病毒爆发,全球 6000 万台电脑之殇
1998 年 6 月,一款由中国台湾大学生陈盈豪编写的计算机病毒,从地下软件分发渠道悄然扩散。没人能预料到,这个最初仅 656 字节的程序,会在短短一年内演变为全球性的信息灾难 —— 它就是 CIH,首个能直接破坏计算机硬件的恶性病毒。这场风暴最终导致全球超 6000 万台电脑受损,而在受灾最严重的中国,这场灾难意外成为信息安全产业的 “催化剂”,直接开启了本土安全市场的爆发性增长。
2025-11-13 01:04:43
378
原创 第15节 Lloyd逻辑炸弹,内部威胁从信任崩塌到系统瘫痪
在当下远程工作时代,回溯Lloyd的6行代码,我们看到威胁的连续性:技术防护需嵌入组织文化,防范不满转化为破坏——安全不仅是代码,更是信任的动态平衡。1996年7月31日上午,新泽西州布里奇波特Omega工程公司的制造厂内,网络管理员登录中央文件服务器,屏幕短暂闪现“Contacting NetWare server... Have a nice day”后,系统开始“修复”模式。这并非疏忽,而是有意为之。Lloyd的解雇源于工作冲突,据公司证词,他与同事关系紧张,曾拒绝培训继任者,并表现出对抗态度。
2025-11-13 00:46:20
178
原创 第14节 凯文·米特尼克,社会工程学大师登场
摘要:1995年,FBI逮捕了被称为"世界头号黑客"的凯文·米特尼克,结束了其两年半的逃亡生涯。米特尼克以社会工程学手段著称,通过伪装和心理操纵入侵40多家企业系统,而非纯技术破解。他的作案手法始于1979年,包括冒充员工获取密码、克隆手机信号等。1999年认罪后服刑5年,出狱后转型为安全顾问。米特尼克案推动了网络安全意识发展,将防护重点从技术转向人文因素。他于2023年去世,享年59岁,成为网络安全史上的标志性人物。
2025-11-13 00:04:55
698
原创 第13节 93年高能所被入侵,开启中国网络安全发展进程
1993年3月2日,中国科学院高能物理研究所(IHEP)通过64K DECnet专线接入美国斯坦福线性加速器中心(SLAC),这是大陆首个部分连入国际互联网的节点。专线开通仅数月,研究所网络管理员在日常日志审查中发现异常。出现多台VAX主机上出现未授权登录记录,日志显示外部IP从美国西海岸路由器反复探针端口23(Telnet)和21(FTP)。入侵者通过默认账户“guest”上传了简单脚本,扫描系统弱点,导致部分粒子物理实验数据文件被复制并外传。
2025-11-12 23:43:01
381
原创 第12节 1998年L0pht国会听证,黑客从地下转向公开舞台
20世纪90年代,互联网从学术网络向商业基础设施转型,黑客社区随之经历分化。这种分化源于技术普及与法律压力,1990年Operation Sundevil行动逮捕了数百名黑客,促使部分成员转向合法咨询。Legion of Doom(LOD)作为80年代的标志性团体,到90年代已衰落,其成员多因内部冲突和执法打击解散,转向商业或隐退。相比之下,欧洲的Chaos Computer Club(CCC)在90年代保持活跃,通过公开演示漏洞影响政策。
2025-11-12 01:14:24
547
原创 第11节 1994年花旗银行劫案
在网络安全的历史长河中,1994年夏季的一系列事件标志着一个转折点。那一年,俄罗斯圣彼得堡的一名系统管理员Vladimir Levin,通过拨号调制解调器连接到美国花旗银行的转账系统,执行了约40笔非法转账,总额超过1070万美元。这不是简单的病毒植入或数据窃取,而是直接从企业客户账户中抽取资金,并分散到全球多个国家的银行账户中。事件曝光后,迅速演变为国际调查焦点,Levin于1995年3月在伦敦斯坦斯特德机场被捕。
2025-11-12 01:05:49
289
原创 第10节 Morris蠕虫与网络安全的集体觉醒
Morris蠕虫并非恶意破坏,而是学术好奇的副作用——莫里斯原计划让程序“静默计数”,却因重感染逻辑失控。善意设计也可能引发灾难性后果,系统安全必须考虑“故障放大”效应。CFAA首次将“未经授权访问”定罪,莫里斯于1990年被判社区服务和罚款,成为法律与技术的交汇点。事件后,BSD系统引入chroot沙箱、栈不可执行(NX bit前身)等防御,互联网从“信任社区”转向“零信任”假设。技术连接第一次以全球规模展示其脆弱性,迫使人类从“代码即自由”走向“代码需约束”。
2025-11-12 00:23:06
502
原创 第9节 电影《战争游戏》对网络安全立法的影响
1980年代中期,计算机从科研工具转向个人和商业应用,初步网络如ARPANET扩展为早期互联网。这一转变带来入侵风险增加,社会开始认识到技术双面性。1983年电影《战争游戏》上映,讲述少年黑客无意中接入军用系统,差点引发核战。该片基于真实技术,如调制解调器拨号和弱密码系统,引发公众恐慌。时任美国总统里根观看后询问军方是否可能发生,得到肯定答复后,总统立即推动国会讨论计算机犯罪立法。
2025-11-12 00:04:19
253
原创 第8节 计算机病毒概念的正式化和安全行业的兴起
病毒概念的起源与Fred Cohen的实验计算机病毒的早期想法可追溯到1970年代的理论讨论,但正式定义和演示发生在1983年。安全行业的响应与组织成立Cohen的演示后,1980年代中期病毒事件增多,推动了安全公司的兴起。在演示中,Cohen展示了病毒在实验室网络中的传播:从一台主机起始,病毒通过共享文件系统在5分钟内感染50个用户账户,控制了系统操作如文件访问和进程管理。这一时期,病毒概念的正式定义引发了安全领域的关注,推动了专门公司和组织的成立。这些事件暴露了网络环境的弱点,促使行业行动。
2025-11-11 21:25:03
367
原创 第7节 中国计算机安全的制度起点《电子计算机系统安全规范》
1981 年,中国的计算机应用尚处于起步阶段,但在信息安全领域已迈出了关键的制度化步伐。这一年,国务院正式发布《电子计算机系统安全规范》,作为国内首个针对计算机系统安全的规范性文件,它首次将物理防护、运行管控、信息保密等安全需求系统化、标准化,为后续数十年的网络安全体系建设奠定了制度根基。
2025-11-11 01:11:06
142
原创 第6章 70年代中国计算机技术的缓慢推进与单机安全措施
1970年代,中国计算机技术从第二代晶体管向第三代集成电路过渡,但整体进展受文革影响,研发资源有限。相比国际上1960年代中期已普及的集成电路计算机,中国直到1970年代初才开始批量生产这类设备。这些计算机主要用于国防、科研和大型计算任务,民用领域几乎空白。由于中国直到1994年才全功能接入国际互联网,这一时期计算机安全主要关注单机环境的物理防护和数据完整性维护,避免外部网络威胁。
2025-11-10 14:58:45
244
原创 第5节 NBS 给身份认证和加密硬件的第一个“官方印章”
标志着加密从“算法纸上谈”到“商用产品可信”,NBS 也提出了口号: “标准不只写在纸上,要焊在芯片里。这条法律不是为了电脑,而是为了文件柜:它要求联邦机构保护个人信息的收集、使用和传播,因为“个人的隐私直接受联邦机构对个人信息的收集、维护、使用和传播的影响”。NBS(National Bureau of Standards,国家标准局),NIST的前身,接到任务:给用户身份认证定个调子。Roger Schell(前 SCTC)后来回忆: “1977 年,我们从锁主机,转到锁人。:数据加密标准(DES)。
2025-11-10 01:10:20
287
原创 第4节 ARPANet 第一次意识到“密码不能明着传”
《网络安全的黎明:从ARPANet明文传输到PLI加密盒》 1974年,BBN工程师意外发现ARPANet以明文传输密码,促成了网络安全技术的首次重大突破。在军方紧急要求下,Honeywell组建22人团队,在12KB内存限制下研发出两项革命性技术:PLI加密盒采用56位Lucifer算法保护传输数据,类型强制内核则通过访问控制表防止主机内部信息泄露。这套方案不仅使ARPANet从"能连"升级为"能信",更奠定了现代IPsec和SELinux的技术基础,标志着网络安全
2025-11-09 01:43:43
179
原创 第4节 从经验主义到数学确定性,1978年图灵奖得主罗伯特·W·弗洛伊德与计算信任体系的奠基
他的成果包括用于寻找网络中最短路径的经典算法(例如,著名的Floyd-Warshall算法的基础),以及高效计算数据集中位数和分位数的方法。弗洛伊德的图灵奖演讲主题是《编程的范式》(The Paradigms of Programming,强调编程的清晰度和结构性,深刻影响了后来的“有文化的编程”(Literate Programming)概念。此外,seL4还提供了针对安全属性的证明,保证在正确配置的系统中,内核能够强制执行机密性、完整性、和可用性等经典的安全特性。他的遗产通过教育得以永续。
2025-11-07 23:51:17
110
原创 第1节 网络与安全的诞生(1969-1971)
摘要:ARPANET的诞生源于冷战时期军事通信需求的推动,其分布式架构设计具有抗毁性优势。1969年首次实现跨节点网络通信,但早期网络缺乏安全防护机制。1971年出现的Creeper程序首次展示了网络传播风险,随后诞生的Reaper成为首个防御程序,标志着网络安全攻防对抗的开始。这两大事件共同构成了网络安全的原初图景,揭示了攻防技术相互演化、螺旋上升的本质特征,为后续网络安全发展奠定了基础。
2025-11-07 01:20:59
375
原创 第一节 新世界的入场券
大学新生林之意外进入网络安全专业,面对陌生课程充满迷茫。在C语言课上,他连基础作业都无法理解,与大多数同学一样手足无措。当他最终成功完成第一个简单程序时,这种与数字世界的首次互动让他感受到成就感。随着专业课程的深入,林之意识到数学和逻辑基础的重要性,决定沉下心来扎实学习,而非像其他同学那样应付考试。这个计算机"小白"正经历着从迷茫到坚定的成长过程。
2025-11-02 01:30:21
147
原创 纵深防御实践:东方隐侠CI/CD安全体系构建全解析
随着企业数字化转型加速,CI/CD安全已成为保障软件交付的核心环节。本文系统阐述了CI/CD安全体系的构建路径,从基础原则到进阶实践,为企业提供全方位防护方案。文章首先通过电商平台和银行案例揭示安全漏洞可能导致的重大损失,强调安全左移的必要性;随后详细解析CI/CD安全四原则(最小权限、全链路追溯、环境隔离、安全左移)和成熟度模型;重点介绍代码仓库、构建环境、自动化测试等关键环节的安全防护措施;最后针对不同行业特性和企业规模,提出定制化解决方案。文章指出,通过文化、流程、技术、人才四维协同,企业可实现安全与
2025-09-15 00:26:30
500
原创 DeepSeek赋能Nuclei:打造网络安全检测的“超级助手”
引言各位少侠,周末快乐,幸会幸会!今天唠一个超酷的技术组合——用AI大模型给Nuclei开挂,提升漏洞检测能力!想象一下,当出现新漏洞时,少侠们经常需要根据Nuclei模板,手动扒漏洞文章、敲代码,而既然现在有了DeepSeek等AI大模型,让它们成为“智能小秘书”,喝口咖啡的工夫,模板就自动生成了!值得注意的是,Github上也有各式各样的Nuclei的自建poc仓库,如何快速集成,确保自己的Nuclei背后使用的poc仓库最大最全最准确,也是需要思考的问题!
2025-04-21 19:16:22
1773
74cms5.0.1RCE漏洞环境源码
2022-10-18
BrowsingHistoryView_v2.50
2022-08-08
jpcap压缩包
2018-11-21
干净的数据——数据清洗与入门(内附图书)
2018-07-04
cobaltctrike3.13-cracked.zip
2020-02-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人