OpenAI称提示词注入攻击难以根除,将成为AI时代的“流行病”
AI浏览器将是发病重灾区。尽管OpenAI正努力加固其Atlas AI浏览器以抵御网络攻击,但该公司承认,提示注入这种通过操纵AI代理、使其遵循恶意指令的攻击形式在短期内不会消失。相关指令往往隐藏在网
阅读全文当猎人成为猎物: APT误触LummaC2,亲手葬送1.4亿美元“战果”的台前幕后
2025年,网络安全领域披露的一起事件突破了国家级威胁行为者(Advanced Persistent Threat, APT)与普通网络犯罪分子之间长期存在的界限。一名高级某国威胁行为者的设备意外遭受
阅读全文文件上传黑名单限制的绕过总结
一、黑名单限制的本质与风险文件上传黑名单是 Web 应用通过禁用特定文件后缀(如.php、.jsp)阻止恶意脚本上传的防御机制,但因 “枚举不全”“解析差异” 等固有缺陷,常被攻击者突破。据 Port
阅读全文Burp Suite | SQL注入自定义扫描和分析、丰富的配置选项和直观的用户界面
工具介绍SQL Injection Scout 是一个用于 Burp Suite 的扩展,专为帮助安全研究人员和开发人员检测和分析 SQL 注入漏洞而设计。该扩展提供了丰富的配置选项和直观的用户界面,
阅读全文某链商被黑致超13亿元资产被盗,监管机构责令安全整改并赔偿受害用户
Nomad在新版本中引入了重大漏洞,导致超13亿元的加密货币资产被盗,用户损失惨重;Nomad最初被宣传为一款“安全优先”的产品,但背后公司却在网络安全的多个方面存在不足,FTC要求其执行全面改进。美
阅读全文AI勒索新剧本曝光:2500万美元蒸发,我们离“数字绑架”还有多远?
一场源自“上级领导”的视频会议,2500万美元转瞬蒸发。这并非好莱坞式的虚构惊悚桥段,而是2024年真实上演于跨国工程咨询巨头Arup的网络安全事件。攻击者借助深度伪造技术,精准复刻公司首席财务官的音
阅读全文所有关基用户请注意!CISA新版AI安全指南出台,再不分离OT网络就晚了!
近日,多家机构共同发布了关于在工业控制系统(OT)中安全使用人工智能(AI)的最新安全指南。之所以需要推出这样的文件,是因为 AI 和 OT 这两大领域本身就属于极高敏感度的攻击面 —— AI 面临不
阅读全文攻击者利用PuTTY工具实现横向渗透与数据窃取双重目的
网络安全研究人员发现,攻击者正日益滥用流行的PuTTY SSH客户端工具,在已攻陷的网络中实施隐蔽的横向移动和数据窃取活动,仅留下可供调查人员追踪的细微取证痕迹。Part01取证突破口:Windows
阅读全文NVIDIA高危漏洞可致AI系统完全沦陷|“黄播”涌入快手,平台安全体系缘何失控?|内鬼;黑客重金收买企业内部人员绕过安全防护
关键词漏洞NVIDIA紧急发布Isaac Launchable软件安全更新,修复三个可能让攻击者完全控制受影响系统的关键漏洞。这家GPU巨头披露的CVE-2025-33222、CVE-2025-332
阅读全文哪个瓜更大?快手被黄,Spotify被黑
本周,互联网市场爆出两个惊天大瓜,快手被黄和Spotify被黑。音乐史上最大规模版权失窃案全球最大的“影子图书馆”Anna’s Archive(安娜档案)近日突然宣布,他们已经完成了对Spotify的
阅读全文n8n工作流自动化平台曝高危漏洞:数万实例面临任意代码执行风险
n8n工作流自动化平台近日披露一个高危安全漏洞,在特定条件下成功利用该漏洞可能导致任意代码执行。该漏洞被追踪为CVE-2025-68613,CVSS评分为9.9分(满分10分)。根据npm统计数据显示
阅读全文CSCAN分布式网络资产扫描平台
工具介绍CSCAN分布式网络资产扫描平台工具特性资产发现 - 端口扫描 (Nmap/Masscan/Naabu),服务识别指纹识别 - Httpx + Wappalyzer + 自定义指纹引擎,多源融
阅读全文国家水务部门遭勒索攻击:上千个系统遭破坏 IT全面瘫痪
罗马尼亚国家水务管理局遭严重勒索软件攻击,全国流域管理机构几乎全部受影响,上千个系统被破坏,IT全面瘫痪,不过官方称OT相关能力未受影响。罗马尼亚国家网络安全局确认,该国水资源管理部门遭遇一起重大勒索
阅读全文北方阴影:揭秘朝鲜错综复杂的网络基础设施体系
一项最新联合调查揭露了支撑朝鲜最臭名昭著网络行动的复杂重叠基础设施。Hunt.io与Acronis威胁研究团队的研究人员联手绘制了朝鲜民主主义人民共和国(DPRK)的网络作战架构,揭示出一个间谍活动、
阅读全文美国战争部的新大脑:GenAI.mil
12月9日,一段发布在 X 上的视频,把“GenAI.mil”推到了台前。视频中,国防部长 Pete Hegseth 宣布:五角大楼将以 GenAI.mil 作为“军方专用的生成式 AI 平台入口”,
阅读全文实战中内网穿透的 50 种打法!
内网穿透已从 “技术刚需” 演变为 “基础运维能力”。它本质是通过技术手段打破内网与公网的隔离边界,实现外部合法终端对内部资源的可控访问,但实战中需平衡 “便捷性” 与 “安全性”,避免沦为网络攻击的
阅读全文豪掷近700亿元押注云上AI+安全!Palo Alto迎战网络安全变革期
Palo Alto与谷歌云达成重大合作,未来几年将向其支付近百亿美元,以购买谷歌云与AI服务资源,将旗下产品全面集成谷歌云平台、AI平台、Gemini大模型等,并投入开发AI相关的新产品服务;据悉,P
阅读全文MITRE发布2025年ATT&CK网络安全产品评测结果
MITRE已正式发布2025年 ATT&CK 企业级网络安全产品评测结果。今年共有11家安全厂商参与评测,部分厂商对外强调其在特定评测维度中实现了100%的检测率或防护覆盖率。01参与厂商与评测背景2
阅读全文2025年安全团队必备的40款开源安全工具
开源安全软件是安全团队获得兼具灵活、透明、强大、免费的安全工具的主要途径。本文汇总的40款免费工具可帮助安全团队解决各种问题,从管理大型环境到发现配置错误,再到了解新技术如何改变威胁暴露面。01Aeg
阅读全文漏洞挖掘:众测src测试姿势总结
导语最近在打众测和src,也挖到一下洞,这里分享一些我的测试流程和思路,希望能帮助各位师傅提供新的思路,共同学习,共同进步。支付漏洞支付漏洞是渗透测试的常客了,只要是商城的资产,支付漏洞一定是第一要测
阅读全文110毫秒的真相:亚马逊如何利用"延迟"捕获朝鲜间谍
电子商务与科技巨头亚马逊近日披露了其主动打击朝鲜黑客行动的努力。此前有大量证据表明,这些黑客组织一直在利用亚利桑那州的所谓"笔记本电脑农场"作为渗透美国企业的跳板。他们伪装成合法求职者获取远程职位,进
阅读全文委内瑞拉国家石油公司被黑:疑似运营瘫痪 石油出口中断
委内瑞拉国家石油公司上周末遭受网络攻击,多家外媒称其所有系统均已离线,主要原油码头的系统无法使用,出口业务或中断,该公司发表声明否认这一说法,称仅管理系统受影响,运营未受任何影响,并指责美国为幕后黑手
阅读全文30 个渗透实战技巧 从弱口令爆破到权限提升全攻略!
本文分享的 30 个实战技巧,均面向企业安全运维与合法渗透测试场景,旨在帮助安全从业者提升防御能力,而非提供攻击工具。第一部分:弱口令爆破实战技巧弱口令是网络安全的 “头号漏洞”,实战中需兼顾 “高效
阅读全文综合性 WebShell 管理平台 | 内存马注入、命令执行、文件管理和代理等高级功能
工具介绍TL-NodeJsShell 是一个为安全专业人员和渗透测试人员设计的综合性 WebShell 管理平台。它提供了一个现代化的 Web 界面,用于管理基于 Node.js 的 Shell,具有
阅读全文音乐流媒体巨头遭网络攻击,近三千万用户数据泄露
德国音频流媒体巨头SoundCloud披露,内部某个辅助服务遭到未授权访问,约20%的用户的邮箱和个人资料公开信息被窃取,据估计可能涉及约2800万个账号;SoundCloud采取响应措施时出现误伤,
阅读全文被马斯克裁掉的网络安全岗位,又被特朗普安排上了
“美国科技部队”的成立标志着硅谷科技公司正在走入政治舞台的中央,成为政府职能部门的一部分,在特朗普的支持下清洗并接管美国的数字社会治理大权。在一场轰轰烈烈的“降本增效”、“去肥增肌”运动后,美国联邦政
阅读全文攻击者利用React2Shell漏洞部署Linux后门程序,日本成重点攻击目标
根据Palo Alto Networks Unit 42和NTT Security的研究发现,威胁行为者正在利用名为React2Shell的安全漏洞传播KSwapDoor和ZnDoor等恶意软件家族。
阅读全文某次演练过程中一个有趣的记录 | 某vue网站测试
记录在某次演练的过程中一个有趣的记录。文章作者:先知社区(Asen)参考来源:https://xz.aliyun.com/news/193781►正文还是开局一个登录框,先看看是什么指纹发现是Vue的
阅读全文OpenAI 预警:新模型将具备高级网络攻击能力
人工智能模型在网络安全领域的能力正以超乎预期的速度迭代。OpenAI近日披露的信息显示,其AI模型通过“夺旗”(CTF)挑战的评估能力,已从2025年8月GPT-5的27%跃升至11月GPT-5.1-
阅读全文至少148亿元!近三年受害企业支付勒索软件赎金金额创新高
据美国财政部下属机构统计,2022-2024年期间,受害企业仅通过美国金融机构,就至少向勒索软件组织支付了超148亿元赎金,创下历史新高。美国财政部下属的金融犯罪执法网络(FinCEN)近日发布一份基
阅读全文