GitHub评论可触发Claude Code、Gemini CLI和GitHub Copilot的提示注入漏洞
Part01新型"评论控制"攻击手法曝光研究人员发现一类名为"Comment and Control"(评论控制)的跨厂商关键漏洞,这种新型提示注入攻击利用GitHub的拉取请求标题、议题正文和评论作
阅读全文苹果AI令牌漏洞曝光,窃取者可跨设备滥用服务
Part01服务架构设计苹果公司宣称,其操作系统内置的生成式AI服务Apple Intelligence通过采用匿名访问令牌的双阶段认证授权机制,特别注重用户安全与隐私保护。但俄亥俄州立大学研究人员在
阅读全文AI靶场安全实战系列:RAG知识源投毒——利用PDF隐藏文字劫持AI客服
摘要: 随着企业级RAG(检索增强生成)架构的普及,外部知识库已成为大模型应用的“信任根”。本文聚焦一种隐蔽的知识源投毒方式:攻击者通过弱口令等途径获取知识库管理权限后,无需修改文档的可视内容,仅利用
阅读全文AI安全案例分析 | Marimo 零日漏洞与Hugging Face平台滥用(文末附邀请码)
01 事件背景:谁在使用 Marimo?Jupyter Notebook 主导数据科学生态多年之后,Marimo 作为一个现代化的响应式 Python notebook 框架悄然崛起,其响应式执行模型
阅读全文更好理解:CVE-2021-1732漏洞分析报告与利用
本次报告的标题定为《更好理解:CVE-2021-1732漏洞分析报告与利用》。在撰写过程中,我参考了多篇已有的分析文章,但由于该漏洞是在野样本中被首次发现,很少可用的PoC。为此,本文从零编写了一套完
阅读全文Checkmarx KICS 官方 Docker 镜像遭投毒
近期,IaC安全扫描工具Checkmarx KICS的官方Docker Hub仓库遭入侵,攻击者上传了被植入恶意代码的镜像,可能导致企业开发凭证、云密钥、API密钥等敏感数据被批量窃取。Docker平
阅读全文开启Android应用的“上帝模式”:Frida源码级调试与定制开发实战
逆向圈里流传着一句话:「Frida 玩得溜,逆向少走一半路」。但现实是,80% 的人学 Frida,都卡在了 “入门容易精通难” 的坎上:Hook 成功了不知道原理,失败了不会排查;Java 层还能凑
阅读全文聚焦内修战备和外慑对手:美国网络司令部司令披露联合作战视角下网络部队发展态势
编者按美网络司令部司令约书亚·鲁德4月21日出席美国众议院军事委员会的听证会,就美国国防部网络空间态势和能力发表证词。约书亚·鲁德表示,美国网络司令部2025年展示了将网络空间作战与联合部队相融合的精
阅读全文安博通亮相2026九峰山论坛,赋能芯片产业安全新基建
4月23日,中国化合物半导体领域的标杆性盛会——2026九峰山论坛在武汉·光谷科技会展中心正式启幕。作为科创板首家网络安全上市企业,安博通携“晶石”云网安全策略可视化平台、IT资源一体化安全运维平台两
阅读全文信息安全--MAC 开篇之作 (CMAC)
点击上方蓝字谈思实验室获取更多汽车网络安全资讯01CMAC 是什么?CMAC 的全称是 Cipher-based Message Authentication Code,即基于密码的消息认证码。CMA
阅读全文GMSL/LVDS与车载以太网
点击上方蓝字谈思实验室获取更多汽车网络安全资讯目前高级辅助驾驶ADAS传输数字视频主要采用以下几种技术相结合的方式LVDS (低压差分信号) 物理层传输:摄像头模组(尤其是环视、后视等近距离高分辨率
阅读全文Wireshark抓包惊现"未来时间"?揭秘TLS Random字段的真相
Wireshark抓包惊现"未来时间"?揭秘TLS Random字段的真相摘要在网络安全分析中,Wireshark是不可或缺的抓包工具。然而,当我们在分析TLS/SSL握手数据包时,经常会遇到一个令
阅读全文浅谈代码审计+漏洞批量一把梭哈思路
前言最近在学习 src 的挖掘,常规的 src 挖掘就是信息泄露,什么逻辑漏洞什么的,什么越权漏洞,但是说实话,挖掘起来不仅需要很多时间,而且还需要很多经验,当然其实还有一种挖掘的办法,就是利用刚出的
阅读全文【免费领】网安大神从业笔记:安全事件应急响应实战案例全纪录
点击蓝字/关注我们今日福利一线大佬从业经验笔记安全事件应急响应实战案例全纪录从入侵到处理,大量应急响应案例解析限时福利,请及时领取哦 ~该资料内容较多,以下为节选的部分目录:长按识别下方二维码,回复“
阅读全文火绒安全 | 以专业之力 为企业数字化转型筑牢安全屏障
火绒安全面向企业用户开展的火绒终端安全管理系统2.0系列专项培训圆满推进,培训内容聚焦企业高频使用的终端管理、防护策略、中心运维及常见问题处置,凭借实用性强、针对性高、易落地等特点,获得各行业企业用户
阅读全文诚邀渠道合作伙伴共启新征程
随着业务的不断扩展和市场需求的增长,火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划,期待与更多志同道合的伙伴一起把握行业趋势,共同开拓市场潜力,携手共创网络安全的美好未来
阅读全文ByteSRC发布《AI生成漏洞报告提交规范》
ByteSRC联合30+SRC共同发布《AI生成漏洞报告提交规范》,请白帽师傅们提交报告时请恪守规范,确保信息完整、描述准确、可复现验证,共同提升漏洞流转与处置效率。随着大模型能力日益增强,利用AI工
阅读全文1v1论文指导!985/211专业对口导师手把手指导至录用!SCI/SSCI/EI/中文核心/毕业论文
先写大论文,还是先发小论文?这是很多研究生和博士生在进入学校之后最先遇到、也最容易纠结的选择题。大论文定下限,小论文定上限。有下限没上限,找工作难;有上限没下限,毕不了业。那么大论文和小论文,怎么选才
阅读全文360SRC关于AI生成漏洞报告的处置公告
随着大模型能力日益增强,利用AI工具辅助或自动化挖掘漏洞已成为安全研究的新趋势。近期,我们确实收到了一些由AI协助发现的高质量漏洞报告,但同时也面临大量未经人工验证的无效报告,甚至是被AI“幻觉”误导
阅读全文【已复现】FortiSandbox 身份验证绕过漏洞(CVE-2026-39813)
“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”FortiSandbox 曝出身份验证绕过高危漏洞(CVE-2026-39813,CVSS 9.8),
阅读全文python免杀工具学习记录
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!0x01 前言最近学习了一下免杀
阅读全文先知平台关于AI生成漏洞报告的处置公告
随着大模型能力日益增强,利用AI工具辅助或自动化挖掘漏洞已成为安全研究的新趋势。近期,我们确实收到了一些由AI协助发现的高质量漏洞报告,但同时也面临大量未经人工验证的无效报告,甚至是被AI“幻觉”误导
阅读全文【从这里 向世界出发】2025 BSRC年度盛典圆满落幕!
2026年4月21日,「从这里 向世界出发」百度安全 2025 BSRC年度盛典圆满举办。白帽精英们齐聚一堂,围绕AI安全攻防实践、Agent安全新挑战、高危漏洞挖掘等核心议题深度交流,共探AI时代安
阅读全文深度分析 | 在官方 KICS Docker 中发现恶意 Checkmarx 构件
一、事件概述2026年4月22日,安全研究机构 Socket 与 Docker 联合披露了一起针对 Checkmarx KICS 的重大供应链攻击。攻击者(高度疑似威胁组织 TeamPCP)通过覆写
阅读全文安全简讯(2026.04.23)
1. Kyber勒索软件双平台攻击,号称后量子加密4月22日,网络安全公司Rapid7在2026年3月的一次安全事件响应中,发现并分析了一种名为Kyber的新型勒索软件。该勒索软件同时具备针对Wind
阅读全文【安全圈】《王者荣耀》惊现逆天bug
关键词BUG今天(23日)上午,多位玩家反映游戏出现闪退bug,东皇太一被紧急屏蔽等情况。有玩家反映,当东皇太一大招攻击血包(恢复点)时,会触发全场玩家强制闪退,且无法重连对局。恶意利用此Bug的玩家
阅读全文【安全圈】理想汽车严正声明:系统遭黑客破解、配合走私均为不实信息
关键词黑客4月23日消息,近期,网络上流传有关“杭州某用户车辆系统遭黑客破解”、“理想汽车配合走私车辆出境”等不实信息,对理想汽车品牌形象造成严重污蔑。对此,理想汽车法务部已于4 月 22 日晚间发布
阅读全文【安全圈】Claude Mythos 发现 271 个火狐浏览器漏洞
关键词漏洞Mozilla 表示,Anthropic 新推出的专注于网络安全的 Claude Mythos 人工智能模型在火狐浏览器中发现了 271 个漏洞。 这些漏洞由 Claude Mythos 预
阅读全文Oracle发布2026年4月的安全公告
全公告编号:CNTA-2026-00012026年4月21日,Oracle发布了2026年4月份的安全更新,修复了其多款产品存在的481个安全漏洞。受影响的产品包括:Oracle Database S
阅读全文