黑客利用Flowise关键漏洞攻击数千个AI工作流
漏洞概述:自定义MCP节点设计缺陷导致任意代码执行网络安全研究人员发现,威胁攻击者已找到向Flowise低代码平台注入任意JavaScript的方法。该平台主要用于构建定制化大语言模型(LLM)和Ag
阅读全文当AI 沦为合规造假工具,Delve“虚假合规即服务”事件深度剖析
作为长期深耕网络安全领域的行业观察者与内容创作者,在对近期合规科技赛道进行系统性研判时,笔者注意到一起极具警示意义的行业事件:合规科技初创企业 Delve 被曝光存在 “虚假合规即服务”(Fake C
阅读全文AI 抢饭碗?打不过就加入:从 Claude Mythos 封禁事件看安全人的转型之路
导语:Anthropic 近期推出的 10 万亿参数模型 Claude Mythos 因其在网络安全方面的”前所未有”能力而决定不公开发布。与此同时,12 家包括 Apple、Microso
阅读全文黑客也翻车:朝鲜 IT 劳工因为“123456”弱口令,把月入百万的洗钱后台给丢了
链上侦探 ZachXBT 刚发了长推,这回不是抓某个小割韭菜的,而是直接端了一个朝鲜(DPRK)IT 工人的内部支付后台你可以登陆这个地址看看,呵呵,有东西http://investigation.i
阅读全文与渗透高手之间的差距,就是一个越狱大模型
下面那图是笔者自己本地跑的截图谷歌的安全限制又被干翻了😂Gemma 4 的 31B 模型出了个完全无限制的越狱版本!直接叫 Gemma-4-31B-JANG_4M-CRACK:✅ 几乎什么问题都不拒绝
阅读全文Burp Suite | 解决传统 SQL 注入扫描器的检测盲区——有效识别URL路径片段及隐藏XFF 头中潜在的注入点
工具介绍Injector - Path Collector 是一款 Burp Suite 插件,旨在解决传统 SQL 注入扫描器的检测盲区——即无法有效识别 URL 路径片段 及 隐藏 XFF 请求头
阅读全文黑客圈内战:谁得到便宜?
导语:2026年黑客圈最热闹的大戏来了!BreachForums、NotBreachForums、LAPSUS$三方混战,剧情反转再反转——原版论坛被质疑”正宗”,山寨反而宣称正版?还有人cospla
阅读全文AI 领域的一个重磅突破!是台电脑都能跑AI模型
导语:AI 领域的一个重磅突破!微软开源的 bitnet.cpp 标志着“1 比特大模型(1-bit LLM)”时代正式开启。“痛点”:AI 是富人的游戏在 bitnet.cpp 出现之前,本地运行大
阅读全文【视频】CVE-2026-32746,CVSS 评分高达 9.8
安全研究团队(Dream Security)近期公开了 GNU InetUtils telnetd 服务的一个底层缓冲区溢出漏洞。该漏洞被追踪为 CVE-2026-32746,CVSS 评分高达 9.
阅读全文【未修复】 漏洞概念验证(PoC)
该漏洞的核心在于“借刀杀人”,即利用 Windows Defender 自身的高权限(SYSTEM)来攻击系统。安全研究团队(通过 @vxunderground 转发)披露了一个名为 BlueHamm
阅读全文黑客圈“内战”升级:ShinyHunters 竞争对手在 Telegram 免费公开大量敏感数
“我超越世代,我不是黑客,我是捕食者。”2026年1月,神秘黑客 James 发布 4400 字“毁灭日宣言”,宣告 BreachForums 内战爆发。他嘲讽 ShinyHunters 是“一群被惯
阅读全文勒索软件”羞辱式”攻击愈演愈烈:2026年已有超2000家企业数据被公开
导语:如果你不支付赎金,你的隐私数据将被公开发布到暗网供所有人下载——这已不再是恐吓,而是勒索软件组织正在执行的现实策略。最新数据显示,2026年已有超过2000家企业沦为双重勒索的受害者,”羞辱式”
阅读全文攻击者利用 Outlook 365 漏洞强制截获 NTLM 哈希
近期,网络安全研究人员披露了一项针对 Microsoft Outlook 365 的攻击技术。攻击者通过构造特殊的邮件或会议邀请,能够强制受害者客户端向远程服务器发起认证,从而秘密窃取 Net-NTL
阅读全文图形化未授权访问漏洞扫描器,支持检测 40+种 常见服务的未授权漏洞
工具介绍一个用 Python + PyQt5 写的图形化未授权访问漏洞扫描器,支持检测 40+种 常见服务的未授权漏洞,GUI框架 PyQt5。作者:Yuelo0工具下载https://github.
阅读全文过人脸验证:Jinkusu Cam 与 eKYC 防线的“信任坍塌”
免责声明(专业版)【安全研究声明】 本文由 [您的网站名] 深度安全研究团队发布,内容涉及对黑产组织 Jinkusu(金克斯)最新攻击工具的技术拆解。发布此文旨在提升金融机构及合规技术(RegTech
阅读全文一张速查表带你看透:为什么你的 GitHub 仓库正在“裸奔”?
在网络安全领域,有一个被称为 “GitHub Dorks”( GitHub 傻瓜式搜索/语法挖掘)的技巧。正如 @hackinarticles 所分享的这份速查表所示, GitHub 并不只是代码仓库
阅读全文从沙箱逃逸到系统主宰:解析 2026 年首个重大 Windows 内核提权漏洞-华盟网
在 Windows 中,所有对afd.sys的操作都通过打开\Device\Afd设备句柄完成。深度细节:攻击者并不直接调用 socket(),而是通过 NtCreateFile 直接获取 AFD 设
阅读全文AI漏洞演示:从路径遍历到 Root 夺权 —— Langflow CVE-2026-5027 漏洞全解析
1. 漏洞背景:AI 工作流中的“后门”在 2026 年 3 月底,流行的开源 AI 编排工具 Langflow 被曝出存在高危漏洞(CVE-2026-5027,CVSS 评分 8.8)。该漏洞隐藏在
阅读全文AI程序漏洞演示:CVE-2026-22812 (OpenCode RCE)【暗网卧底给的视频】一会删除
1. 漏洞核心:不设防的本地服务器OpenCode 在运行时会自动启动一个本地 HTTP 服务器,用于处理 AI 代理与系统终端之间的交互。根本原因:该服务器在设计上完全缺失了身份验证机制(CWE-3
阅读全文Github 搞钱excel榜单
榜单囊括了项目名称、Github 链接、项目说明、所属分类、stars以及最新commit时间excel榜单链接在评论区,榜单永远开源,大家选择自己的习惯进行收藏内容来源 x.com @saccc_c
阅读全文警报!2026款“类飞马”间谍软件现身暗网,iPhone 17 与 Android 16 沦为猎物
【导语】 近日,一名代号为 xone9to1 的黑客在知名网络犯罪论坛发布了一则令全球安全专家震惊的广告:一款号称具备“零点击”能力的顶级远程控制木马( RAT )正公开售卖。这款软件不仅打破了 iO
阅读全文虾聊——我的工作流怎么做的让OpenClaw机器人能稳定工作
经验分享:如何通过编写稳定程序(新闻抓取、邮件管理、Agent通讯),让大模型只做决策与总结,省Token、提效率、可调试一、痛点:提示词像一门充满歧义的高级语言我们向AI描述一个任务时,实际上是用自
阅读全文Drift Protocol 遭遇 2.7 亿美元史诗级黑客攻击分析与启示
导语:2026年4月1日愚人节,Solana生态发生了史上最昂贵的"玩笑"——头部永续合约协议Drift Protocol遭遇2.85亿美元史诗级劫案。攻击者预埋20天,仅用12分钟便搬空了协议核心金
阅读全文某APP的一次渗透-华盟网
来源:本文由掌控安全学院 - nnsae86 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn )一、前言最近项目上遇到很多关于渗透测试的资
阅读全文最后通牒:思科再陷数据泄露风暴 FBI NASA 等政府机构信息或已外泄
导语: 2026 年 3 月,臭名昭著的数据勒索组织 ShinyHunters 再次将目标对准网络巨头思科( Cisco )。这一次,他们声称已成功渗透思科的 Salesforce CRM 系统、 G
阅读全文CloudFront WAF 绕过一个办法
CloudFront WAF 会对 `/actuator` 路径设置 403 拦截规则,但您可以使用 URL 编码 `/%61%63%74%75%61%74%6f%72`(即,将 `/actuator
阅读全文Chrome 再曝高危0day漏洞:CVE-2026-5281 !
一、事件概述2026年4月1日,Google 发布紧急安全更新,修复了 Chrome 浏览器中编号为 CVE-2026-5281 的高危漏洞。该漏洞属于释放后重用(Use-After-Free)类型,
阅读全文LinIR-Linux下的应急响应采集工具
当你登上一台可能已被入侵的服务器,你敢相信上面的 ps、netstat、ss 吗?一、问题:你以为在取证,其实在被骗应急响应的第一步通常是”看看机器上在跑什么”。大多数人的第一反应是:ps auxne
阅读全文朝鲜黑客组织 UNC1069 劫持 Axios 开源库:供应链攻击再次瞄准开发者
导语: 2026 年 3 月 31 日,全球最流行的 JavaScript 库之一 Axios 遭遇供应链攻击。朝鲜黑客组织通过入侵项目维护者账户,在 npm 包中植入远程访问木马(RAT),历时近
阅读全文