1.9亿美元集体抢劫
导语:2022年8月1日,一个平平无奇的凌晨,Nomad跨链桥上悄然发生了一件足以载入加密货币史册的事件——将近1.9亿美元,在几个小时之内,被超过300个地址以"复制粘贴"的方式瓜分殆尽。这不是某个
阅读全文一篇文章玩转蓝牙安全神器Spooftooph
蓝牙(Bluetooth)已经成为我们日常生活中不可或缺的无线通信技术——耳机、键盘、手机、智能手表、车载系统……几乎每台设备都配备了蓝牙。然而,便利性的另一面是攻击面。在 Kali Linux 中,
阅读全文情报暗网宣称 OpenAI 数据泄露(62GB)
一个名为 MrLucxy 的威胁行为者在暗网出售的“OpenAI 数据集”的具体情况:宣称数据量:压缩包约 14.6 GB,声称解压后超过 62 GB。宣称包含的文件类型:聊天日志、Slack 导出、
阅读全文告别Prompt拼凑:生产级Agent架构设计全景指南
Agent 很热闹,生产现场很骨感过去一年,几乎每个团队都做过 AI Agent。一个输入框,一个大模型,几个工具,一段写得很漂亮的 System Prompt,再配上一个炫酷的前端,看起来就像
阅读全文网络安全全流程Skills — 39大模块,195个安全Skills,覆盖完整攻击面与防御面
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即
阅读全文凌晨三点收到一千条漏洞告警,AI 替我看完了
至暗时刻做安全运维的朋友大概都经历过以下场景:周五下班前跑了一轮全网漏扫,周一上班打开平台,系统提示"发现 1247 个漏洞"。你点进去,密密麻麻的 CVE 编号、CVSS 评分、英文描述、一堆"高危
阅读全文Linux 本地提权工具 支持多个Linux 内核和 Polkit 漏洞 | AnolisOS、openEuler、统信UOS、openKylin、Ubuntu、CentOS 7
工具介绍RootHawk 是一个用于授权安全测试的 Linux 本地提权工具。它整合了多个已公开的 Linux 内核和 Polkit 漏洞,目的是在可控环境(虚拟机、实验环境、授权目标机器)中验证系统
阅读全文漏洞预警 | Apache HTTP Server双重释放漏洞
0x00 漏洞编号CVE-2026-239180x01 危险等级高危0x02 漏洞概述Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,由于其具有跨平台性和安全
阅读全文漏洞预警 | 天地伟业Easy7 SSRF和文件写入漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述天地伟业Easy7综合管理平台采用分布式架构,融合模数混合切换显示、用户权限控制、数据存储点播等功能,具备智能检索、视频诊断等特色应用,能
阅读全文工具 | hackingtool
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介HackingTool是Z4nzu维护的一个All-in-One渗透
阅读全文Hermes的应用(八):视频分析
Hermes升级到13后,增加了一个新功能:视频分析。决定试一下,先在Hermes中切换个视觉LLM,就用QWen3.5-397b-a17b。上传个测试视频到/home/kali/CVE.mp4。一会
阅读全文飞手必看!新规来了!
2026年5月1日起,《民用无人驾驶航空器实名登记和激活要求》与《民用无人驾驶航空器系统运行识别规范》两项强制性国家标准正式实施。新国标规定无人机实名登记和激活的工作流程,明确要求无人机在激活前和取消
阅读全文在地下_马识途_摘录(12)
我和黄毅商量,托他给我找可靠的车子到贵阳去。他说他有办法找去贵阳的邮车,过几天就可以走。他问我钱够不够,我说我已经有钱了。只是要把部分银元换成法币,路上好用。因此我决定到米亭子银元市场去换法币。我到
阅读全文槐树下的热汤与屏幕前的坚守:一个网安老兵的《渡尘寰》感悟
最近,动画《仙逆》的插曲《渡尘寰》和剧中那段“落叶村化凡”的剧情,不知让多少道友湿了眼眶。当胡夏温润的嗓音唱出“我陪你见过人间,听群山悲欢”时,我坐在电脑前,看着屏幕上王林陪着儿子王平走完平凡的一生
阅读全文崩溃后的重生-用概率博胜率
一次 FineReport J2V8 引擎漏洞利用的完整记录连续搞崩一台服务器无数次,重启了无数轮,就为弹一个计算器。但确实是这段时间干的事。怎么发现的这个点事情的起因很普通。拿到一套 FineRep
阅读全文东胜物流软件CrmProxyMailListGridSource.aspx接口存在SQL注入漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文MCP协议的安全攻防:当AI Agent编排150+工具时,攻击面不再是代码而是元数据
点击上方[蓝字],关注我们建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即
阅读全文三大运营商可以冲Token了!用AI就像交话费
5月18日,中国电信、中国移动、中国联通密集推出Token套餐,正式下场做AI计费生意。最低9.9元/月、1元可买40万Tokens,把大模型调用变成流量包一样的大众消费品,AI算力正式走进普通人的生
阅读全文大白哥红队课第9期,报名就送1个亿token
点击蓝字,关注大白哥AI与安全,一起探索AI与网络安全 免责声明:本文技术、思路及工具仅用于合法安全测试与防御研究,严禁用于非法入侵、攻击他人系统、数据窃取等违法违规行为,一切后果由使用者自
阅读全文扎心真相 | 为什么国内的安全公司难出真创新?
很多人都在问:为什么国内网络安全行业越来越卷,却越来越难看到真正的创新?每年都有新概念:XDR、零信任、SASE、数据安全、AI安全、安全大模型......每家公司都在发布“下一代安全产品”。但行业里
阅读全文DoublePulsar:Crystal Palace 与 Tradecraft Garden 时代的用户自定义反射加载器
原文链接作者https://memn0ps.github.io/doublepulsar-a-user-defined-reflective-loader-in-the-crystal-palace-
阅读全文为什么信任你的漏洞扫描器是个坏主意
原文链接作者https://osintteam.blog/why-trusting-your-vulnerability-scanner-is-a-bad-idea-full-report-e6a8d
阅读全文Patch免杀工具更新!!!
本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担!!!工具介绍 自动化扫描白文件,自动Patch白文件进行免杀。支持byp
阅读全文Claude Code深度链接解析漏洞可被武器化,无需额外交互即可RCE
Anthropic公司的Claude Code CLI工具中发现了一个严重的远程代码执行(RCE)漏洞。攻击者可诱骗受害者点击特制的深度链接,从而在其计算机上执行任意命令。该漏洞现已在Claude C
阅读全文NGINX高危漏洞(CVE-2026-42945)遭野外利用,可致RCE或服务崩溃
VulnCheck报告显示,NGINX Plus和NGINX开源版本中新披露的安全漏洞(CVE-2026-42945)在公开披露数日后已遭野外利用。该堆缓冲区溢出漏洞存在于 ngx_http_rewr
阅读全文网络安全新挑战:如何验证AI Agent的真实性
过去二十年里,网络安全的核心始终是保护人类免受机器威胁——拦截恶意软件、过滤钓鱼邮件、企业缓解DDoS攻击、抢在攻击者之前修补软件漏洞。对手明确,攻击面清晰,防御手册虽不完美但至少脉络分明。然而,这个
阅读全文MongoDB 高危漏洞可导致攻击者执行任意代码
最新披露的 MongoDB 高危漏洞(CVE-2026-8053)可能使威胁攻击者执行任意代码,进而完全控制受影响服务器,导致数百万条记录面临泄露风险。该漏洞直接影响 MongoDB Server 的
阅读全文【安全圈】AI 假图“仅退款”成风:商家叫苦不迭,国家反诈中心“AI 鉴定师”进入实战阶段
关键词AI有图有真相”的消费维权常识,正被突飞猛进的 AI 技术改写。据央视报道,近期不少电商商家反映遭遇了一种新型售后套路:买家提供的“问题商品”图片并非实拍,而是利用 AI 技术伪造出来的“证据”
阅读全文【安全圈】针对电话诈骗 谷歌要推新识别功能了
关键词谷歌据科技媒体 Android Authority 今日报道,谷歌正在为 Android 系统电话应用开发伪造电话号码识别功能,在诈骗袭来时提供预警。据报道,谷歌的电话应用已经拥有垃圾电话防护、
阅读全文