爆火背后:OpenClaw 开源AI智能体应用攻击面与安全风险系统剖析
2026年初,OpenClaw(曾用名Clawdbot、Moltbot)这一开源自主AI智能体项目在全球范围内迅速引爆关注。作为一款以聊天Bot形态运行的自动化智能体应用,它允许用户通过Web页面、I
阅读全文每周蓝军技术推送(2026.1.31-2026.2.6)
Web安全Web应用渗透测试和漏洞赏金指南,涵盖方法论、工具和漏洞识别利用资源https://github.com/xalgord/Massive-Web-Application-Penetratio
阅读全文每周蓝军技术推送(2026.1.24-2026.1.30)
Web安全介绍了如何发现Supabase JWT令牌暴露漏洞,并发布了用于扫描该漏洞的Python脚本工具https://bour.ch/how-rep-helped-me-identify-a-cr
阅读全文深度剖析:SKILLS架构攻击面、实战案例与开源生态调研
00 背景随着大模型与智能体从对话向任务执行扩展,能力的封装、复用与编排成为关键问题。SKILLS 作为能力抽象机制,将推理逻辑、工具调用与执行流程封装为可复用的技能单元,使模型在执行复杂任务时实现稳
阅读全文每周蓝军技术推送(2026.1.17-2026.1.23)
内网渗透WimReader:从网络共享上的WIM压缩存储查看、提取和解压文件https://github.com/leftp/WimReader终端对抗IAmAntimalware:借助Winodws
阅读全文每周蓝军技术推送(2026.1.10-2026.1.16)
Web安全Gixy-Next:NGINX配置安全扫描器和性能检查工具https://github.com/MegaManSec/Gixy-Next内网渗透ScrappyDoo:用于BloodHound
阅读全文AI 红队越狱攻击技术在大模型内容生成服务安全测试
引言随着大语言模型在千行百业的落地与持续迭代,大模型生成内容的安全问题是规模化落地的制约挑战之一。当前大模型内容生成服务提供商多使用安全对齐、拒答机制和规则约束等防护技术,控制不当内容输出的风险。但是
阅读全文每周蓝军技术推送(2025.12.27-2026.1.9)
Web安全CVE-2025-67843:Mintlify文档平台MDX渲染漏洞,影响Discord、Vercel等https://kibty.town/blog/mintlify/分析Beego OR
阅读全文每周蓝军技术推送(2025.12.20-12.26)
Web安全分析PostHog中SSRF、ClickHouse SQL逃逸0day和默认PostgreSQL凭证组成的RCE链漏洞https://mehmetince.net/inside-postho
阅读全文ClickFix钓鱼新变种:ChatGPT官方共享链接成投毒跳板
00 引言近期,卡巴斯基披露了一起新型 ClickFix 钓鱼攻击事件。研究显示,攻击者利用 Google 付费搜索广告(SEM)投放恶意链接,诱导用户下载窃密器。典型的攻击路径为:当受害者搜索“Ch
阅读全文每周蓝军技术推送(2025.12.13-12.19)
Web安全CVE-2024-50629/CVE-2024-50631:Synology BeeStation SQLite注入到RCE漏洞分析及利用https://github.com/kiddo-p
阅读全文每周蓝军技术推送(2025.12.6-12.12)
Web安全SVG Filters - Clickjacking 2.0:利用SVG过滤器进行高级点击劫持攻击https://lyra.horse/blog/2025/12/svg-clickjacki
阅读全文每周蓝军技术推送(2025.11.29-12.5)
内网渗透深入分析Windows认证反射攻击技术实现本地/远程权限提升、域控完全控制https://decoder.cloud/2025/11/24/reflecting-your-authentica
阅读全文每周蓝军技术推送(2025.11.22-11.28)
Web安全CVE-2025-6389:WordPress 未授权RCE漏洞POChttps://github.com/B1ack4sh/Blackash-CVE-2025-6389CVE-2025-5
阅读全文每周蓝军技术推送(2025.11.15-11.21)
Web安全CVE-2025-64446:Fortinet FortiWeb认证绕过漏洞分析https://labs.watchtowr.com/when-the-impersonation-funct
阅读全文每周蓝军技术推送(2025.11.8-11.14)
Web安全PortSwigger推出HTTP异常排名技术,用于Web安全测试https://portswigger.net/research/introducing-http-anomaly-rank
阅读全文招聘 | 绿盟科技渗透测试/安全研究方向研发岗位等你来
招聘信息招聘类别研究类工作地点武汉、北京、西安招聘岗位安全研究员(AI安全方向)岗位职责:开展新型实战化网络攻防技术研究,探索AI赋能攻防研究场景与应用;LLM生态模型、智能体、组件安全风险研究,构建
阅读全文每周蓝军技术推送(2025.11.1-11.7)
Web安全收集用于绕过CSP和HTML净化器的JavaScript小工具库https://gmsgadget.com/内网渗透AxHound:从AdaptixC2获取LDAP搜索日志的工具https:
阅读全文每周蓝军技术推送(2025.10.25-10.31)
Web安全NextjsServerActionAnalyzer:Next.js服务器动作安全分析工具https://github.com/Adversis/NextjsServerActionAnal
阅读全文每周蓝军技术推送(2025.10.18-10.24)
Web安全挖掘ClubWPT Gold网站漏洞,可完全访问管理后台获取敏感数据https://samcurry.net/hacking-clubwpt-gold内网渗透介绍利用BadSuccessor
阅读全文AI挑战强网杯,行不行?
引言自ChatGPT引爆关注以来,业界对于将大语言模型(LLM)应用于网络攻防领域的探索便持续不断。从早期的PentestGPT、XBOW,到近期备受关注的HexStrike等项目,不断有创新成果涌现
阅读全文每周蓝军技术推送(2025.9.27-10.17)
Web安全Autoswagger:API授权漏洞检测工具https://www.intruder.io/research/broken-authorization-apis-autoswaggerht
阅读全文每周蓝军技术推送(2025.9.20-9.26)
Web安全SafeContentFrame:安全渲染不受信任的Web内容的技术特点及应用场景https://bughunters.google.com/blog/6715529872080896/be
阅读全文每周蓝军技术推送(2025.9.13-9.19)
Web安全agneyastra:Firebase配置错误检测工具包https://github.com/JA3G3R/agneyastraWebSocket Turbo Intruder:PortSw
阅读全文每周蓝军技术推送(2025.9.6-9.12)
内网渗透NTLM中继攻击技术演进与防御指南https://specterops.io/wp-content/uploads/sites/3/2025/04/SPO_NTLM_WhitePaper_Up
阅读全文HexStrike深度剖析:AI渗透的喧嚣与现实
01 引言:喧嚣之下的AI渗透“网红”近日,一个名为HexStrike-AI的开源项目在安全圈内引发了轩然大波。这个由安全研究员Muhammad Osama开发的项目,在GitHub上发布不久便迅速斩
阅读全文每周蓝军技术推送(2025.8.30-9.5)
Web安全分析Chromium浏览器Cookie保护机制变化及窃取技术https://specterops.io/blog/2025/08/27/dough-no-revisiting-cookie-
阅读全文每周蓝军技术推送(2025.8.23-8.29)
Web安全Ruby Marshal反序列化漏洞利用技术的历史演变分析https://blog.trailofbits.com/2025/08/20/marshal-madness-a-brief-hi
阅读全文每周蓝军技术推送(2025.8.16-8.22)
Web安全rre-burp:Burp扩展工具,用于递归请求漏洞利用测试https://github.com/jumpycastle/rre-burp介绍新型HTTP反同步攻击,可大规模窃取用户凭证ht
阅读全文每周蓝军技术推送(2025.8.9-8.15)
Web安全HTTP/1.1 must die the desync endgame:HTTP请求走私检测工具,支持v3.0版本https://github.com/HTTP/1.1%20must%20
阅读全文