微软无视，RedSun PoC 已公开（Windows 用户正在为漏洞买单？！）

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

从理论到实战：AI与人类协作挖掘NGINX高危漏洞 (CVE-2026-27654) 的深度剖析

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

MCP服务器安全：隐藏的AI攻击面

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

AI 在现实中寻找到真正N-Day漏洞的表现如何？

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

CPUID 被攻陷！CPU-Z/HWMonitor 被植入木马

防走失：https://gugesay.com/不想错过任何消息？设置星标↓ ↓ ↓你上一次打开CPU-Z是什么时候？查CPU型号、测内存频率、还是装完新机器跑个分？这个工具太常见了——常见到没人会怀

阿尔忒弥斯 2 号绕月归来【照片分享】

【漏洞预警】Adobe Reader 零日漏洞正被恶意 PDF 利用

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

EngageLab SDK 漏洞致 5000 万安卓用户信息泄露，其中包括 3000 万加密钱包

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

Claude Mythos 的网络安全能力有多可怕

凌晨三点，一封邮件悄然躺进了某科技巨头的安全团队共享邮箱。发件人不是某个熬红眼的白帽黑客，不是潜伏地下论坛的情报贩子，而是——一个AI。邮件正文只有三行：“在你们部署的OpenBSD系统内核中，发现了

与Claude共度的 10 分钟：CVE-2026-34197 的远程代码执行

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

Google让AI“潜入暗网”：网络安全进入无人战争时代？

你有没有想过——你的个人数据，正在暗网的某个角落被人明码标价？姓名、邮箱、银行卡、社交账号，甚至你公司的VPN权限……而你毫不知情...传统安全团队想发现这些威胁，只有一个办法：人工盯着暗网，一条条翻

Gemma 4 VS Qwen 3.5 本地部署测评

防走失：https://gugesay.com/archives/5456不想错过任何消息？设置星标↓ ↓ ↓上周 Google 隆重推出了 Gemma 4 开源模型，号称史上最强开源模型（据说对标的

36 个恶意 NPM 软件包利用 Redis 和 PostgreSQL 部署持久化植入程序

网络安全研究人员在npm存储库中发现了36个恶意软件包，它们伪装成Strapi CMS插件，但实际上携带不同有效载荷，用于实现Redis和PostgreSQL漏洞利用、部署反向shell、窃取凭据以及

某米C400智能摄像头的逆向分析与漏洞利用

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

Axios 供应链攻击深度剖析：一个RAT统治全平台

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

愚人节的非愚人事件【估计留存不会太久】

CC CLI 工具源码，本次泄漏的代码只是source map还原后的结果，缺少很多脚手架和私有package。网上已有好心人搞的七七八八了，想玩玩或体验的，可以搞一搞。（估计不会留存太久，尽可能 f

利用Claude挖掘Vim、Emacs 0day 漏洞的故事

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

三款 Qwen3.5 本地模型效果对比

有人在同一UI重建任务上测试了三款 Qwen3.5 本地模型（27B密集型 vs 35B-A3B MoE vs 122B-A10B MoE）相同的截图，相同的提示词；同样的任务：根据截图重建4个UI组

macOS用户一定要用oMLX

【CVE-2026-26123】微软身份认证器 DeepLink 漏洞

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

用报废车零件运行特斯拉Model 3 电脑

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

别了 Sora：是泡沫破裂还是战略大撤退？

防走失：https://gugesay.com不想错过任何消息？设置星标↓ ↓ ↓还记得那个让全网屏住呼吸的时刻吗？2024年初，OpenAI甩出一张王牌，几行文字便生出电影级画面的Sora横空出世。

RSAC 2026前瞻：AI安全代理时代降临，我们该扮演猎人、牧羊人还是裁判？

写在前面又到了一年一度网络安全界的“风向标时刻”——RSA大会。但今年的热闹，来得比以往都要早一些。大会还没开锣，各家安全厂商的“新品预告”就如潮水般涌来，像极了电影上映前的终极预告片，把核心悬念直接

AI辅助漏洞挖掘：四种方法的实测与挫败

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

CTF 已死

原文：https://k3ng.xyz/blog/ctf-is-dead这仅仅是我对这个问题的一些牢骚，所以提前为其缺乏连贯性和结构性致歉。这篇帖子仅是根据我的个人经历和道德标准得出的个人看法。往昔美

他用那一瞬间的电压波动，干碎微软13年安全神话！

引言2026年RE//verse安全大会现场，一个名叫Markus Gaasedelen的男人，当着全世界的面，按下了一个按钮。下一秒，那台被微软吹了13年、号称“永远不会被破解”的Xbox One，

案例研究：Uber黑客攻击事件

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

LinkedIn(领英)最新高危漏洞披露

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

连AI都能轻松解flag了，CTF还有什么意义？

将超出漏洞范围的 HTML 注入升级为高危 9.3 分 XSS 漏洞（绕过 WAF）

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c