构建大模型安全自动化测试框架：从手工POC到AI对抗AI的递归Fuzz实践

随着大语言模型（LLM）在企业服务、智能客服、代码生成等场景中的广泛应用，其安全性问题也日益凸显。传统的人工测试方式——即通过人工构造Prompt、逐条发送请求并观察响应内容来判断是否存在越狱、指令注

零知识证明（ZKP），解锁隐私计算的硬核密码

在隐私计算领域，“证明你有权限”与“保护核心数据”总是矛盾的焦点。比如，证明“我有私钥”却不能泄露私钥本身，或者验证“我满18岁”但不能暴露生日。零知识证明（Zero-Knowledge Proof，

中秋佳节，愿君安，福满添

反向代理是什么？ZeroNews 如何帮你实现安全内网穿透

“上周刚把内网的测试服务通过端口转发暴露到公网，结果第二天就收到了 17 次恶意扫描提醒，吓得我赶紧关掉 —— 可合作伙伴还等着看项目进度，这活儿没法干了！”做运维、开发或者企业 IT 的你，是不是也

Python 代码审计实战指南：从漏洞原理到防御策略

在 Web 安全领域，Python 凭借其简洁高效的特性成为主流开发语言之一，但随之而来的安全问题也日益凸显。无论是 XSS、SQL 注入等传统漏洞，还是反序列化、沙箱逃逸等 Python 特有的风险

30分钟搞定正向代理！Neo-reGeorg+Proxifier从原理到内网访问落地

做安全测试、内网运维时，你是不是也遇到过这些痛点：想访问目标内网资源却被网络隔离拦住，用反向代理又怕“弹shell”被监测溯源，好不容易找了教程却卡在“配置了但不生效”的坑？今天分享的这份干货，直接帮

聊透 CI/CD 安全的 “反坑指南”：从代码到部署的每一步都有实招

引言做 DevSecOps 这么多年，见过太多团队栽在 CI/CD 的 “隐形坑” 里：有因为 Jenkins 账号权限没锁死，被攻击者篡改构建脚本投毒的；有第三方依赖没做 SBOM，用了被植入恶意代

银狐木马：隐匿威胁与防范攻略

引言在数字化时代，网络安全威胁如影随形，其中 “银狐” 木马病毒正悄然成为众多用户的棘手难题。近期，国家计算机病毒应急处理中心等机构依托国家计算机病毒协同分析平台，在我国境内连续捕获一系列针对网络用户

QaFuzz：关于测试域名的漏洞挖掘工具

引言工具地址：https://github.com/darkfiv/QaFuzz作者：东方隐侠安全团队 DarkFi5在挖掘某SRC的过程中，我发现了一种适用于该SRC的通用挖掘思路。随笔记录下来，希

2025演练燃启！少侠，请亮剑赴战！

给师傅们安利一款Icon信息提取神器！

icofind 是由东方隐侠安全团队「断奏」开发的红队工具，基于浏览器插件形态实现对网站图标（Icon）的深度解析与网络空间测绘。其核心价值在于突破传统域名、IP 维度的资产发现局限，通过「图标指纹」

警惕！纯 CSS 也能偷数据？这种攻击比 XSS 更隐蔽！

你以为只有 JavaScript 能搞破坏？大错特错！当黑客盯上你的网站时，一行 CSS 代码就能悄悄偷走敏感信息 —— 从 CSRF Token到页面文本，甚至 JavaScript 代码！今天就来

给师傅们安利一款逻辑漏洞挖掘神器！

由东方隐侠团队Darkfi5、小智研发的 AIFuzzing 的逻辑漏洞检测工具，近期受到众多少侠的青睐，纷纷表示这款工具的设计思路真的很不错。为了让大家更加直观看到这款工具的使用价值，这里全程使用A

警惕！你的 API 正在 "裸奔"？Swagger 安全漏洞攻防实战全解析！

网安知识分享DFYX’s KNOWLEDGE & NEWS 科普知识 一起成长 东方隐侠·集智堂引言在前后端分离开发盛行的今天，Swagger 作为 API 文档神器，帮助开发者高效调试接口、生成

【深度解读】人脸识别新规落地：技术应用的安全边界与发展机遇

网安知识分享DFYX’s KNOWLEDGE & NEWS 科普知识 一起成长 东方隐侠·悟剑堂引言2025 年 3 月，国家互联网信息办公室与公安部联合公布《人脸识别技术应用安全管理办法》（以下

高效存活检测工具推荐：快速定位互联网活跃资产，抢占 SRC 攻防先机

引言在网络安全众测与攻防实战中，获取海量潜在目标资产是渗透测试的基础环节。然而，未经筛选的资产列表往往包含大量失效或已下线的站点，导致安全团队难以在第一时间定位有效目标，错失攻防先机。此时，存活检测工

DudeSuite智能安全测试平台介绍

工具介绍DudeSuite（Dude Suite Web Security Tools）是一款轻量化集成化的Web渗透测试工具集程序，程序包含了多种常见的渗透测试场景适用的工具除经典的请求重放及爆破、

Google Pixel 6（Android 13）真机安全测试环境搭建全攻略

引言随着移动应用安全研究需求的增长，搭建一个可控的Android真机测试环境成为逆向工程、漏洞挖掘和安全测试的基础。然而，从设备解锁、Root权限获取到抓包环境部署，每一步都可能因设备型号、系统版本或

数据脱敏：守护数据安全的 “易容术”

引言在数字经济蓬勃发展的今天，数据成为了推动各行业前进的核心力量。从医疗精准诊疗到金融实时风控，从智慧城市决策到电商个性化推荐，数据的流动与共享无处不在。然而，数据安全问题也日益凸显，医疗记录、金融数

【东方隐侠渗透工具箱】发布：红队作战效率革命

隐侠为什么要发布工具箱在安全攻防领域，红队前期的作战能力往往取决于日积月累的工具体系，实现快速打点、快速利用。东方隐侠安全团队凭借在红蓝对抗领域的深厚积累，正式发布 「隐侠渗透工具箱」—— 一款专为红

网络安全场景中的 MCP 融合：技术架构与实施路线探讨

网安知识分享DFYX’s KNOWLEDGE & NEWS 科普知识 一起成长 东方隐侠·悟剑堂引言在 AI 深度融入网络安全的当下，安全厂商与红蓝对抗参与者都在积极探索如何利用 AI 提升威胁情

别等了，用AIFuzzing越权工具去捡洞吧！

AIFuzzing越权工具使用分享："小白的奇幻之旅" 🚀目录前言：为什么选择AIFuzzing安装篇：那些年我们踩过的坑配置篇：从"一脸懵逼"到"恍然大悟"实战篇：当AI遇上越权检测问题解决篇：常见

DeepSeek赋能Nuclei：打造网络安全检测的“超级助手”

网安知识分享DFYX’s KNOWLEDGE & NEWS 新鲜资讯 抢先了解 东方隐侠·悟剑堂引言各位少侠，周末快乐，幸会幸会！今天唠一个超酷的技术组合——用AI大模型给Nuclei开挂，提升漏

东方隐侠行韬堂诚聘高级红队精英：以技术为剑，守护数字疆界！

2025东方隐侠招聘启事东方隐侠·行韬堂团队简介东方隐侠安全团队，以技术为剑、以生态为盾、以侠义为魂，已建立将近3年，当前已汇聚60+位行业精英，志愿成为既能对抗APT组织、守护关键基础设施，又能赋能

基于 GIS 系统渗透事件，看关键基础设施 "战场预置" 型威胁的攻防博弈与动态防御体系构建

网安资讯分享DFYX’s KNOWLEDGE & NEWS 新鲜资讯 抢先了解 隐侠安全客栈引言在 2023 年，美国马萨诸塞州利特尔顿电灯和水务部门（LELWD）遭受了国家级 APT 组织 VO

数据安全管理，守护数字时代的“黄金密码”

网安知识分享DFYX’s KNOWLEDGE 新鲜知识 抢先了解 隐侠安全客栈场景引入今日《霸总没机会再爱我》系列Movie清单 🎬现实警示：数据安全威胁的魔幻现实主义电影1：凌晨 3:17 的董

安全驻场周报终结者：AI+Python玩转多维度周报

引言：驻场运维的"花式"报告日常深夜的机房灯光下，驻场工程师小王盯着满屏的运维数据苦笑——要给客户写3份不同颗粒度的巡检周报，还要给领导整理工作简报，更得准备技术侧的深度分析。不同文档的格式要求各异，

告别项目延期：智能工时算法如何重塑安全交付价值链

引言：项目管理作为企业实现持续盈利与提升客户满意度的核心方法论，在当今行业竞争白热化的背景下，其重要性尤为凸显。在网络安全领域，如何通过科学的项目管理体系保障交付质量与效率，已成为技术总监、项目经理群

解析DeepSeek/AI在JS算法识别领域的创新价值

引言：从古埃及象形文字加密（公元前2000年）到二战恩尼格玛机的机械密码，人类对信息安全的探索跨越了数千年。1949年，香农（Claude Shannon）在《保密系统的通信理论》中奠定现代密码学基础

基于DeepSeek/AI的资产测绘与威胁图谱构建

引言：在网络安全攻防实践中，资产测绘是红队作战与蓝队安全运营的第一步，其本质都是通过系统性信息采集实现攻击面管理。当前普遍存在的痛点在于，当企业级资产规模呈指数级增长时，传统基于规则引擎的低效批量处理