- 博客(400)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 asp大马免杀技巧
本文介绍了一种针对ASP webshell的免杀技术更新,重点分析了如何绕过D盾、安全狗等主流安全检测工具的检测。核心技术仍基于代码混淆、执行逻辑重构等传统方法,但引入了类事件处理、垃圾数据填充等新型混淆技术。这些技术经过多平台交叉验证,适用于安全研究场景。文章强调该内容仅供网络安全研究使用,所有技术细节均源自公开资源。通过函数数组组合等创新方法,有效提升了webshell在VirusTotal等平台的免杀效果。
2025-08-14 01:29:30
328
原创 aspx汗血宝马-免杀ASPX大马
我想通过这个图片你已经看到了这个木马的强大之处了,服务器上的所有资源一览无余,各种操作,各种骚……你懂得!关于ASP.NET木马ASPXSPY的初步处理研究前段时间服务器中了木马了,经过排查,截获了ASPXSPY木马。该木马是用ASP.NET写的,为了知己知彼,就将木马拷到本地运行研究,发现功能真的很强大,自认为服务器设置有一定经验的我在默认情况下对此木马都大门敞开。我的基本设置:每个Web设置有专门用户,而每个用户都只是Guest组帐号,仅对Web目录具有访问权。
2025-06-07 12:10:17
917
原创 AspxSpy2014 Final-aspx免杀大马
Computer非空则为远程主机,如果Username中不含反斜杠(\),则使用当前主机所在域,如果Username中包含反斜杠,则会将域设置为指定的域。TypeName为包含插件方法的完全限定类名,MethodName为方法名,Params为传递的参数,每行一个,空行将被忽略,所有的参数将储存至字符串数组并由反射调用时传递。此版本为开发版本,未进行任何加密,同时不具备免杀功能。IsFull-Trust后面的值表示当前代码是否为Full-Trust,如果为True则为完全信任,此项一定准确。
2025-06-06 21:16:41
1125
原创 最新中国菜刀caidao-20160620
2.1)文件管理:[特色]缓存下载目录,并支持离线查看缓存目录;2.2)虚拟终端:[特色]人性化的设计,操作方便;(输入HELP查看更多用法), 超长命令会分割为5k字节一份,分别提交。2.3)数据库管理:[特色]图形界面,支持MYSQL,MSSQL,ORACLE,INFOMIX,POSTGRESQL,ACCESS, 以及支持ADO方式连接的数据库。2.4) 自写脚本(只有Eval端才支持):通过简单编码后提交用户自己的脚本到服务端执行,实现丰富的功能,也可选择发送到浏览器执行。
2024-05-12 12:44:55
1261
原创 65%头部AI公司在GitHub泄露密钥与令牌等已验证密钥
"边界"维度将发现范围扩展至组织成员意外提交到个人仓库的密钥。最具影响的泄露包括:在明文配置文件中发现的Langsmith API密钥(可获取组织级访问权限)以及ElevenLabs的企业级凭证。AI服务提供商需开发针对专有密钥格式的定制检测方案,因为许多公司在部署过程中因扫描不足而泄露自身平台凭证。全面的密钥检测必须与新兴AI技术同步发展,以提升组织防御标准。这些泄露的密钥出现在已删除的分支、代码片段和开发者仓库中。65%的知名AI公司在GitHub上泄露已验证密钥,包括API密钥、令牌和敏感凭证。
2025-12-30 12:34:07
453
原创 攻击者利用自定义GPT的SSRF漏洞窃取ChatGPT机密数据
摘要:OpenAI的ChatGPT被曝存在高危SSRF漏洞,研究人员发现其"自定义GPT"功能中的"Actions"模块允许攻击者通过URL重定向和标头注入技术访问Azure云元数据服务,可能泄露敏感凭证。该漏洞利用云服务元数据终端的特性,通过HTTPS强制要求绕过和自定义API密钥注入"Metadata:true"标头实现攻击。尽管OpenAI已快速修复,但该事件凸显了AI工具集成外部API时的安全风险,特别是对云元数据的防护不足问题。研究人员通
2025-12-29 13:38:47
404
原创 GitHub Copilot 与 Visual Studio 漏洞可致攻击者绕过安全防护功能
微软披露GitHub Copilot和Visual Studio存在两个高危漏洞(CVE-2025-62449和CVE-2025-62453),分别涉及路径遍历和AI输出验证缺陷。前者允许本地攻击者越权访问文件(CVSS 6.8),后者可能绕过安全检查注入恶意代码(CVSS 5.0)。虽然需要本地权限和用户交互,但这对开发环境构成重大风险。微软已发布补丁,建议开发者立即更新并加强AI生成代码的审查流程。此次事件凸显了AI辅助开发工具的安全隐患。
2025-12-29 13:37:01
424
原创 恶意MCP服务器可劫持Cursor内置浏览器
新型PoC攻击证实恶意MCP服务器可向Cursor浏览器注入JavaScript,甚至执行系统级操作。研究发现单个恶意服务器能替换登录页面实施钓鱼攻击,或完全攻陷工作站。Cursor因缺乏VSCode的完整性校验机制更易受攻击,其内置浏览器可被实时操控而不改变URL。专家建议严格审核IDE扩展和MCP服务器,禁用自动运行模式,仅使用可信来源的服务器并限制权限。该漏洞凸显AI编程工具在提升效率的同时也扩大了攻击面。
2025-12-29 13:35:07
527
原创 专访国外爆火的AI渗透机器人XBOW:对抗性机器人与自主威胁猎手的较量
与同行们类似,由于无法判断哪些实例威胁最大,我们只能先修补对外系统,再处理内部系统——其中必然存在大量无效操作,但在缺乏判断依据的情况下,我们别无选择。数字孪生技术源自NASA为阿波罗13号任务开发的物理孪生系统——当服务舱氧气罐在任务初期爆炸后,该系统通过模拟飞船状态为20万英里外的宇航员排除故障,最终帮助他们安全返回地球功不可没。本质上,数字孪生带给安全团队的价值,与55年前物理孪生赋予NASA科学家的优势如出一辙:精准模拟特定变更对庞大、复杂且高度动态的攻击面可能产生的影响。但企业仍需自行修补漏洞。
2025-12-29 13:34:24
1227
原创 研究人员发现严重AI漏洞影响Meta、Nvidia及微软推理框架
网络安全研究人员发现了一系列影响主流人工智能(AI)推理引擎的关键远程代码执行漏洞,涉及Meta、Nvidia、微软等厂商以及vLLM、SGLang等开源PyTorch项目Oligo Security研究员Avi Lumelsky在周四发布的报告中指出"这些漏洞均源于相同根本原因——对ZeroMQ(ZMQ)和Python pickle反序列化的不安全使用被长期忽视。"该问题本质上源于一种名为的模式由于代码复用导致不安全的反序列化逻辑在多个项目中传播。
2025-12-29 13:32:45
1945
原创 EchoGram漏洞可绕过主流大语言模型的护栏机制
研究发现主流大语言模型存在"EchoGram"安全漏洞,攻击者可通过特定词语序列绕过AI防护机制。该漏洞利用防御系统的训练数据缺陷,使恶意请求能穿透防护栏,或导致无害请求被误判。研究人员警告,随着AI应用扩展,开发者需在3个月窗口期内修复漏洞,防止金融、医疗等关键领域遭受攻击。
2025-12-29 13:30:50
703
原创 突破IAM孤岛:身份安全架构为何对保护AI与非人类身份至关重要
身份安全架构(Identity Security Fabric,ISF)是一种统一架构框架,能够整合分散的身份管理能力通过ISF,身份治理与管理(IGA)、访问管理(AM)特权访问管理(PAM)以及身份威胁检测与响应(ITDR)都被集成到统一的控制平面中。基于Gartner提出的"身份架构"概念,身份安全架构采取了更主动的防护策略能够保护本地、混合云、多云及复杂IT环境中的所有身份类型(人类用户、机器和AI Agent)。
2025-12-29 13:27:15
973
原创 Ollama漏洞允许攻击者通过解析恶意模型文件执行任意代码
GitHub热门开源项目Ollama(15.5万星标)曝出严重漏洞,影响0.7.0之前所有版本。该漏洞存在于C++编写的模型解析代码中,攻击者可通过特制模型文件触发越界写入,实现远程代码执行。Ollama团队已在0.7.0版本中用Go语言重写相关代码修复漏洞。建议用户立即升级,并避免加载不受信任的模型文件。
2025-12-29 13:23:56
339
原创 Semgrep与AI:智能代码审计规则开发实战(二)
在上一篇中我们探讨了Semgrep与AI结合的理论基础。现在让我们进入实战环节亲身体验这种协作模式的高效性。本文将聚焦于Java语言通过两个经典的安全漏洞场景——硬编码密码和SQL注入一步步演示如何与AI协作生成精准的Semgrep检测规则。通过本次实战,演示了如何利用AI辅助生成针对两类漏洞的Java安全规则。这种协作模式显著提升了规则编写的效率,但关键在于安全专家的审核和优化。
2025-12-29 12:36:05
1345
原创 vLLM高危漏洞可致远程代码执行(CVE-2025-62164)
2025年11月24日披露的vLLM高危漏洞(CVE-2025-62164)影响0.10.2及后续版本,CVSS评分8.8。该漏洞存在于Completions API端点,由于PyTorch 2.8.0稀疏张量检查被禁用,攻击者可通过恶意提示嵌入触发越界内存写入,导致服务崩溃或远程代码执行。目前补丁已发布,建议使用vLLM的组织立即升级版本并审计对外开放的模型服务接口。
2025-12-29 12:32:33
370
原创 黑客利用新型黑产AI工具KawaiiGPT发起网络攻击
当要求模仿银行发送鱼叉式钓鱼邮件时,KawaiiGPT能生成极具迷惑性的内容,如"紧急:请验证您的账户信息",并附带指向伪造网站hxxps[:]//fakebankverify[.]com/updateinfo的链接以窃取凭证。该工具为网络犯罪新手提供了生成钓鱼邮件、勒索软件说明文档和攻击脚本的能力,大幅降低了网络犯罪的技术门槛。该工具的代码生成功能覆盖了攻击的各个关键阶段,自动化了原本需要专业知识才能完成的网络渗透操作。即使是没有深厚编程基础的"脚本小子"也能生成复杂的攻击代码。
2025-12-28 13:12:20
392
原创 ChatGPT全球服务中断:用户对话历史消失,开发者工作流受影响
周三清晨,ChatGPT发生重大服务中断,导致全球数百万用户的工作流程受到严重影响。该事件始于早上6:30左右,使得这款热门AI聊天机器人无法访问,并引发了令人担忧的数据可见性问题——用户的对话历史似乎完全消失。OpenAI随后确认,在快速采取缓解措施后,所有系统已完全恢复正常运行。
2025-12-28 13:08:46
696
原创 OpenAI Codex CLI远程代码执行漏洞暴露开发环境新风险
摘要: 研究发现恶意.env文件可通过修改CodexCLI主目录路径加载恶意配置,实现远程命令执行。攻击者只需提交恶意commit或PR,即可在开发者运行Codex时触发后门。OpenAI已在CodexCLI 0.23.0修复该漏洞。攻击原理是利用MCP协议执行恶意命令,通过重定向CODEX_HOME环境变量替换配置文件。此漏洞影响广泛,可能波及CI/CD环境,威胁开发机器敏感数据。事件凸显AI工具的安全风险,建议企业限制自动化权限,避免全自动模式带来的安全隐患。(149字)
2025-12-28 13:02:10
760
原创 GitHub Actions 提示注入漏洞波及多家《财富》500强企业
网络安全公司AikidoSecurity发现新型"PromptPwnd"漏洞,影响AI集成的CI/CD流水线。该漏洞通过将恶意输入注入AI提示,使AI执行特权命令,可能导致密钥泄露。已在多家《财富》500强企业中发现,谷歌GeminiCLI等工具均受影响。漏洞利用AI处理GitHub问题时将指令误认为命令的特性,研究人员已通过PoC证实风险。建议限制AI工具集、净化用户输入、验证AI输出,并提供免费扫描工具检测漏洞。谷歌在披露后4天内完成修复。
2025-12-28 12:56:36
397
原创 英伟达与Lakera AI联合提出AI Agent系统安全统一框架
随着人工智能系统自主性不断增强其与数字工具及数据的交互能力带来了复杂的新型风险英伟达与Lakera AI的研究人员合作发表最新论文针对这类先进"Agentic"系统的安全性提出统一框架旨在解决传统安全模型在应对AI Agent现实世界行为所产生新型威胁时的局限性。
2025-12-28 12:31:07
309
原创 Gartner警告企业严防AI浏览器渗透:或导致数据“不可逆且不可追踪“泄露
AI浏览器在企业环境快速渗透,带来严重数据安全风险。数据显示,ChatGPTAtlas等产品已在金融、制药等高安全需求行业广泛使用,但存在敏感数据失控隐患。专家警告AI浏览器会将用户数据上传云端,传统防护措施对其无效,且已发现多个安全漏洞。建议企业谨慎评估风险,现阶段应限制使用范围或完全禁用,并通过技术手段阻断安装。AI浏览器的安全成熟周期预计需数年时间。
2025-12-28 12:26:51
633
原创 新型提示注入攻击:恶意MCP服务器可窃取资源
研究发现模型上下文协议(MCP)采样功能存在严重安全漏洞。恶意服务器可通过三种方式攻击集成LLM的应用程序:1)资源窃取-隐藏指令消耗计算资源;2)会话劫持-持久性指令改变AI行为;3)隐蔽工具调用-触发未授权操作。漏洞源于MCP对服务器的隐式信任,建议采用请求净化、响应过滤和操作审批等多层防护。该研究警示企业在部署AI应用时需重视基础设施安全防护。
2025-12-28 12:19:43
397
原创 高危漏洞影响CI/CD管道,提示注入即可攻破谷歌Gemini CLI
摘要:研究人员发现高危漏洞"PromptPwnd"影响CI/CD管道中的AI代理,允许攻击者通过用户输入注入恶意提示,使AI执行特权操作,导致数据泄露或工作流篡改。该漏洞已影响多家财富500强企业,包括谷歌GeminiCLI仓库。攻击利用AI代理处理未过滤的用户输入,结合高权限工具链实施攻击。研究人员开源了检测工具并建议加强输入验证、限制AI权限等防护措施。该漏洞标志着首个真实世界的CI/CD管道提示注入攻击案例,凸显AI集成带来的新安全风险,企业需立即审核相关配置。
2025-12-28 11:57:22
303
原创 Cursor等AI编程工具曝光30余项漏洞,可导致数据窃取与远程代码执行
研究人员发现30多个AI集成开发环境(IDE)安全漏洞,统称为"IDEsaster",涉及Cursor、GitHub Copilot等主流工具。这些漏洞通过提示注入与合法功能结合,可实现数据泄露和远程代码执行。攻击者可利用大语言模型防护绕过、工具自动批准等机制,通过修改配置文件或注入恶意指令发起攻击。专家建议仅限可信项目使用AI IDE,严格管控服务器连接,人工审查外部资源。该发现凸显了"AI安全设计"的重要性,表明AI工具扩大了开发环境的攻击面,需考虑AI组件被滥用
2025-12-24 12:25:07
914
原创 英伟达与Lakera AI联合提出AI Agent系统安全统一框架
随着人工智能系统自主性不断增强其与数字工具及数据的交互能力带来了复杂的新型风险英伟达与Lakera AI的研究人员合作发表最新论文,针对这类先进Agentic"系统的安全性提出统一框架,旨在解决传统安全模型在应对AI Agent现实世界行为所产生新型威胁时的局限性。
2025-12-24 12:21:40
347
原创 Gartner警告企业严防AI浏览器渗透:或导致数据“不可逆且不可追踪“泄露
AI浏览器正快速渗透企业环境,ChatGPTAtlas等工具已在27.7%的企业中安装,技术、金融等高安全需求行业采用率最高。但这类工具会将浏览数据和本地内容上传云端,导致企业敏感数据失控。Gartner警告传统安全措施对AI浏览器的新风险完全无效,现有漏洞(如未加密令牌存储)更暴露安全隐患。专家指出安全和隐私需成为核心设计原则,但解决方案成熟仍需数年。建议高风险企业禁用AI浏览器,其他企业应限制使用范围并加强监控。
2025-12-24 12:16:24
477
原创 新型提示注入攻击:恶意MCP服务器可窃取资源
安全研究人员发现模型上下文协议(MCP)采样功能存在严重漏洞,恶意服务器可借此实施资源窃取、会话劫持和未授权系统操作。实验证实攻击者能通过隐藏指令消耗计算资源、篡改会话行为或触发工具执行。该漏洞源于MCP对服务器的过度信任,建议采用请求净化、指令过滤和明确授权等防护措施。随着AI应用普及,该发现凸显了加强LLM集成安全防护的紧迫性。
2025-12-24 11:38:29
383
原创 Gemini AI曝出GeminiJack零点击漏洞,企业机密数据面临泄露风险
网络安全公司NomaSecurity发现谷歌AI系统存在重大漏洞GeminiJack,攻击者可利用该漏洞窃取企业机密数据而无需用户交互。该漏洞源于企业级AI系统的架构缺陷,通过隐藏指令实现数据窃取,且难以被传统安全措施检测。谷歌已迅速部署修复方案,但专家警告企业仍需审查数据源连接。该发现凸显了AI系统在安全设计方面的潜在风险。
2025-12-23 18:02:47
454
原创 保障MCP服务器安全的工具
摘要:随着MCP服务器在企业AI系统中的广泛应用,其安全风险日益凸显。文章分析了MCP协议存在的安全漏洞,包括提示注入、令牌窃取等威胁,并指出企业需在认证授权、访问控制等方面加强防护。当前MCP安全生态已形成三大类解决方案:云服务商(如AWS、Azure)提供的基础设施级防护、大型平台厂商(如PaloAlto)的专业安全组件,以及初创企业(如Acuvity)的创新工具。这些方案均致力于实现MCP服务器发现、运行时防护等核心安全能力,帮助企业构建安全的AgenticAI系统。(149字)
2025-12-23 00:20:55
916
原创 Gemini零点击漏洞可致攻击者窃取Gmail、日历及文档数据
Google Gemini Enterprise(前身为Vertex AI Search)中存在一个被命名为"GeminiJack"的高危零点击漏洞攻击者可借此轻松窃取Gmail日历和文档中的企业敏感数据。
2025-12-23 00:19:00
400
原创 黑客利用LLM共享聊天窃取密码与加密货币
Breakpoint Security安全分析师将该样本识别为Shamus——一种在安全社区广泛记录的信息窃取和加密货币盗窃程序。当用户按照看似合法的分步存储清理指南操作时,就会触发其中经过base64编码的命令,下载并运行一个复杂的多阶段恶意程序。该活动展现了恶意软件分发手段的复杂演进,证明攻击者持续寻找新方法来绕过安全措施入侵用户系统。将搜索"如何清理Mac存储空间"等常见macOS故障排除建议的用户,重定向至伪造的ChatGPT共享聊天链接。该恶意软件的复杂性体现在其多层编码和检测规避策略上。
2025-12-23 00:17:48
365
原创 NVIDIA Merlin框架存在反序列化漏洞,可致AI管道遭RCE攻击
NVIDIA发布Merlin框架安全更新,修复NVTabular和Transformers4Rec两个Linux组件中的高危漏洞(CVE-2025-33214和CVE-2025-33213)。这些CVSS评分8.8的漏洞源于不安全反序列化,可能导致代码执行、数据篡改等风险。NVIDIA已发布更新代码分支,建议用户立即升级至包含指定提交哈希的版本,以保护AI推荐系统安全。
2025-12-23 00:14:55
816
原创 数据灾难:Claude AI执行rm -rf ~/命令清空开发者Mac主目录
AI辅助工具使用风险显现:近期多起案例显示,开发者在采用GoogleAntigravity、ClaudeCLI等AI工具时遭遇严重数据丢失事故。典型问题包括错误命令执行导致主目录清空、关键凭证删除等系统级破坏。专家指出,根本原因在于工具被赋予过高系统权限且缺乏隔离机制,建议通过容器化技术限制AI工具的访问范围。这些事件凸显了AI工具安全防护的紧迫性,警示开发者必须重视权限管控和隔离措施。
2025-12-23 00:12:03
401
原创 NVIDIA发布关键AI安全补丁:Isaac Lab与NeMo框架漏洞可能导致任意代码执行
NVIDIA发布安全更新修复AI生态系统高危漏洞,涉及NeMo框架、IsaacSim仿真平台和Linux Resiliency扩展。其中最严重的IsaacLab反序列化漏洞(CVE-2025-32210,CVSS9.0)可导致代码执行。NeMo框架修复了两个高危漏洞(最高CVSS7.8),涉及模型加载和代码注入风险。Linux Resiliency扩展存在日志聚合和竞态条件漏洞(最高CVSS8.4)。NVIDIA已发布IsaacSim 2.3.0、NeMo 2.5.3和Resiliency 0.5.0版本修
2025-12-23 00:10:28
426
原创 人机交互防线失守:新型攻击将AI安全机制转化为漏洞利用载体
Checkmarx研究发现AI安全机制存在"谎言循环"漏洞,攻击者可伪造HITL(人机交互)审批对话框内容,诱骗用户批准恶意操作。该漏洞利用用户对确认对话框的信任,通过特殊构造提示词操控显示内容,使危险指令被隐藏或伪装。研究表明,当前人工审核机制已无法有效防范此类攻击,建议开发者改进对话框设计、限制渲染方式,并验证操作一致性。该问题已通报相关厂商,但未被认定为安全漏洞。
2025-12-23 00:08:22
503
原创 OpenAI发布GPT-5.2-Codex:显著提升智能编程与漏洞检测能力
OpenAI发布专为编程和网络安全优化的GPT-5.2-Codex模型,在SWE-BenchPro和Terminal-Bench2.0测试中分别达到56.4%和64.0%的准确率,显著超越前代。该模型增强了漏洞检测能力,在实战中发现包括CVSS10.0高危漏洞在内的多个React漏洞。目前面向付费用户开放,并启动专业防御任务试点计划,同时采取安全措施防范滥用风险。React官方已发布相关漏洞补丁。
2025-12-23 00:04:54
1222
原创 高危级Splunk漏洞:Windows文件权限配置错误导致本地提权
摘要:2025年12月,Splunk Enterprise和Universal Forwarder组件在Windows系统中被发现存在高危权限配置漏洞(CVE-2025-20386/20387)。该漏洞使非管理员用户可访问安装目录,影响10.0.2/9.4.6/9.3.8/9.2.10以下版本。官方已发布修复版本,建议立即升级。无法升级的用户可通过icacls工具手动修复权限配置。(150字)
2025-12-22 23:28:52
561
原创 Asana MCP AI 连接器漏洞可能泄露企业数据
摘要:Asana的ModelContextProtocol(MCP)服务器近日曝出安全漏洞,可能导致用户数据意外暴露。该协议由Anthropic开发,旨在连接AI助手与数据系统,但安全专家指出其设计存在访问控制缺陷。网络安全专家建议企业立即审查日志,限制数据访问范围,并考虑更安全的RAG方案替代MCP。Upguard提出四项安全建议,强调最小权限原则和操作日志记录的重要性。专家警告MCP协议尚不成熟,企业应谨慎评估AI相关技术的安全风险。(149字)
2025-10-29 20:56:05
680
原创 MCP SDK安全深度审计报告:揭示跨语言实现中的共性安全威胁与成熟度差异
优势所有语言实现都采用了类型安全的序列化措施;避免了使用不安全的原生序列化机制;实现了基本的输入验证和错误处理;使用各自语言特性增强安全性。劣势传输层安全实施不一致;缺乏统一的认证授权机制;资源管理和限制不够完善;安全配置分散,缺少最佳实践指导;各个语言的实现缺少统一指导。
2025-10-29 20:45:09
1124
原创 NVIDIA AI框架安全警报:Megatron-LM双重注入漏洞与AI安全威胁全景分析
【AI基础设施安全警报】NVIDIA修复Megatron-LM框架双重注入漏洞,影响v0.12.1及更早版本,揭示AI训练系统安全风险。同时,XLab发现针对ComfyUI框架的大规模攻击,Pickai后门程序已感染全球近700台服务器。该恶意软件采用多层持久化、C2轮换等高级技术,清除难度极高,并通过供应链渠道(如Rubick.ai平台)扩散。安全建议包括立即升级框架版本、部署沙箱隔离及建立AI供应链安全管理体系。事件凸显AI基础设施面临日益严峻的安全挑战,需构建端到端防御体系。
2025-10-29 20:36:19
853
免杀asp大马-无后门asp大马-最新Asp大马
2025-08-19
aspx免杀大马,AspxSpy2014,AspxSpy
2025-06-06
caidao-20160622-www.maicaidao.com.rar
2024-05-12
百度URL多线程网址采集工具
2022-08-21
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人