每周蓝军技术推送（2026.4.11-4.17）

内网渗透使用mitmproxy设置透明代理环境，包括Linux网络命名空间、WiFi AP创建和Android系统证书安装https://www.synacktiv.com/en/publicatio

AI安全案例分析 | Grafana 平台零点击间接注入威胁

概述近日，安全研究机构 Noma Security 披露了 Grafana 平台 AI 功能组件中存在的高危安全漏洞，推测为“GrafanaGhost”（案件编号：AIS-DATA-2026-101）

每周蓝军技术推送（2026.4.4-2026.4.10）

内网渗透使用mitmproxy设置透明代理环境，包括Linux网络命名空间、WiFi AP创建和Android系统证书安装https://www.synacktiv.com/en/publicatio

AI安全案例分析 | Vertex AI 双面间谍攻击分析

概述Palo Alto Networks Unit 42 于 2026 年 3 月 31 日发布的报告，详细披露了 Google Cloud Vertex AI Agent Engine 中存在的一项

每周蓝军技术推送（2026.3.28-2026.4.3）

内网渗透BridgeHead：通过C++访问ADWS接口绕过.NET/WCF/HTTP栈，攻击者可进行AD枚举和横向移动https://github.com/ZakiPedio/BridgeHeadh

OpenClaw依赖包Axios遭供应链投毒：恶意版本植入远控木马

核心摘要：2026 年 3 月 31 日，npm 生态遭遇重大供应链攻击。流行 HTTP 客户端库 Axios 的维护者账户被劫持，攻击者发布两个恶意版本（1.14.1 和 0.30.4），植入远程访

从 ACP 协议看 OpenClaw 的暴露面探测

引言2026 年，AI Agent 正以前所未有的速度从"对话玩具"演变为企业的核心基础设施。它们不再只是接收 prompt 返回文本的 LLM wrapper，而是长出了读写文件系统、执行终端命令、

AISS社区案例库开放：欢迎社区共建

引言AISS（AI Safety And Security）绿盟大模型安全智链社区自2024年底上线以来，搭建起一个开放共享的AI安全知识平台。社区以“AISS大模型安全风险矩阵”为核心，构建知识库，

每周蓝军技术推送（2026.3.21-2026.3.27）

内网渗透Krb5RoastParser：从pcap文件中解析Kerberos数据包并提取AS-REQ、AS-REP和TGS-REP哈希https://github.com/jalvarezz13/Kr

LiteLLM 供应链投毒深度分析：从 TeamPCP 连环攻击到全生态沦陷判

概述2026年3月24日，Python生态中主流的LLM网关软件LiteLLM遭遇供应链投毒攻击。攻击者TeamPCP利用窃取的官方仓库账号权限，在约4小时的窗口期内恶意发布了两个高危版本。此次攻击是

APIFox 供应链投毒事件复盘：从 Electron 安全配置缺陷到 CDN 劫持

概述2026年3月25日，APIFox 团队发布安全公告，承认其公网 SaaS 版桌面客户端遭遇供应链攻击。恶意代码通过 CDN 注入的方式，窃取用户 SSH 密钥、Git 凭证、命令行历史等敏感信息

每周蓝军技术推送（2026.3.14-2026.3.20）

WEB安全Swagger Jacker：审计OpenAPI定义文件的安全问题https://bishopfox.com/blog/swagger-jacker-auditing-openapi-def

天元实验室岗位招聘

每周蓝军技术推送（2026.3.7-2026.3.13）

Web安全分析Tauri桌面应用框架的安全风险，探讨XSS到RCE的攻击路径https://bishopfox.com/blog/beyond-electron-attacking-alternati

每周蓝军技术推送（2026.2.28-2026.3.6）

WEB安全CVE-2025-40552和CVE-2025-40553：SolarWinds Web Help Desk存在认证绕过和远程代码执行漏洞链https://labs.watchtowr.co

元宵节快乐

每周蓝军技术推送（2026.2.7-2026.2.27）

WEB安全PortSwigger发布的2025年十大Web黑客技术，包含新的错误注入和SSTI利用技术https://portswigger.net/research/top-10-web-hacki

Claude Code Security启示录：构建智能化攻防新格局

2026年2月20日，人工智能公司Anthropic发布了名为Claude Code Security的新型代码安全工具，这一发布时间点恰逢全球资本市场对AI技术颠覆传统软件行业的高度敏感时期，迅速引

一🐎当先，驰骋千里

爆火背后：OpenClaw 开源AI智能体应用攻击面与安全风险系统剖析

2026年初，OpenClaw（曾用名Clawdbot、Moltbot）这一开源自主AI智能体项目在全球范围内迅速引爆关注。作为一款以聊天Bot形态运行的自动化智能体应用，它允许用户通过Web页面、I

每周蓝军技术推送（2026.1.31-2026.2.6）

Web安全Web应用渗透测试和漏洞赏金指南，涵盖方法论、工具和漏洞识别利用资源https://github.com/xalgord/Massive-Web-Application-Penetratio

每周蓝军技术推送（2026.1.24-2026.1.30）

Web安全介绍了如何发现Supabase JWT令牌暴露漏洞，并发布了用于扫描该漏洞的Python脚本工具https://bour.ch/how-rep-helped-me-identify-a-cr

深度剖析：SKILLS架构攻击面、实战案例与开源生态调研

00 背景随着大模型与智能体从对话向任务执行扩展，能力的封装、复用与编排成为关键问题。SKILLS 作为能力抽象机制，将推理逻辑、工具调用与执行流程封装为可复用的技能单元，使模型在执行复杂任务时实现稳

每周蓝军技术推送（2026.1.17-2026.1.23）

内网渗透WimReader：从网络共享上的WIM压缩存储查看、提取和解压文件https://github.com/leftp/WimReader终端对抗IAmAntimalware：借助Winodws

每周蓝军技术推送（2026.1.10-2026.1.16）

Web安全Gixy-Next：NGINX配置安全扫描器和性能检查工具https://github.com/MegaManSec/Gixy-Next内网渗透ScrappyDoo：用于BloodHound

AI 红队越狱攻击技术在大模型内容生成服务安全测试

引言随着大语言模型在千行百业的落地与持续迭代，大模型生成内容的安全问题是规模化落地的制约挑战之一。当前大模型内容生成服务提供商多使用安全对齐、拒答机制和规则约束等防护技术，控制不当内容输出的风险。但是

每周蓝军技术推送（2025.12.27-2026.1.9）

Web安全CVE-2025-67843：Mintlify文档平台MDX渲染漏洞，影响Discord、Vercel等https://kibty.town/blog/mintlify/分析Beego OR

每周蓝军技术推送（2025.12.20-12.26）

Web安全分析PostHog中SSRF、ClickHouse SQL逃逸0day和默认PostgreSQL凭证组成的RCE链漏洞https://mehmetince.net/inside-postho

ClickFix钓鱼新变种：ChatGPT官方共享链接成投毒跳板

00 引言近期，卡巴斯基披露了一起新型 ClickFix 钓鱼攻击事件。研究显示，攻击者利用 Google 付费搜索广告（SEM）投放恶意链接，诱导用户下载窃密器。典型的攻击路径为：当受害者搜索“Ch

每周蓝军技术推送（2025.12.13-12.19）

Web安全CVE-2024-50629/CVE-2024-50631：Synology BeeStation SQLite注入到RCE漏洞分析及利用https://github.com/kiddo-p