Aggregator

Pentest Muse Building an AI agent that can automate parts of pentesting jobs and provide live suggestions to pentesters. Requirements Python 3.12 or later Necessary Python packages as listed in requirements.txt OpenAI API key Modes...

The post Pentest Muse: Revolutionizing Penetration Testing with AI Automation appeared first on Penetration Testing Tools.

Forensic Tools forensictools is a toolkit designed for digital forensics, offering a wide array of tools. Its primary goal is to simplify the creation of a virtual environment for conducting forensic examinations. In addition to...

The post forensictools: A toolkit designed for digital forensics appeared first on Penetration Testing Tools.

#科技资讯 闰年魔咒永相随：欧洲卫星公司 OneWeb 在 2024 年最后 1 天出现系统故障导致大量用户无法正常连接卫星。事后 OneWeb 承认是闰年导致的问题，因为该公司的相关

HackerNews 编译，转载请注明出处： 微软透露，正对一家“境外威胁行为组织”采取法律行动，因该组织运营了一项“黑客即服务”基础设施，故意绕过其生成式人工智能（AI）服务的安全控制，制作攻击性和有害内容。 这家科技巨头的数字犯罪部门（DCU）表示，已观察到这些威胁行为者“开发了复杂的软件，利用从公共网站上抓取到的暴露的客户凭证”，并“试图识别和非法访问某些生成式AI服务的账户，故意篡改这些服务的功能”。 随后，这些对手利用Azure OpenAI服务等，通过向其他恶意行为者出售访问权限来获利，并为他们提供如何使用这些定制工具生成有害内容的详细指导。微软表示，其于2024年7月发现了这一活动。 微软表示，自那以后，已撤销了该威胁行为组织的访问权限，实施了新的应对措施，并加强了保障措施，以防止此类活动在未来再次发生。同时，微软还表示已获得法院命令，查封了该组织犯罪活动的核心网站（“aitism[.]net”）。 随着OpenAI ChatGPT等AI工具的普及，威胁行为者滥用这些工具进行恶意活动的现象也屡见不鲜，从制作违禁内容到开发恶意软件等。微软和OpenAI曾多次披露，来自中国、伊朗、朝鲜和俄罗斯的国家组织正在利用他们的服务进行侦察、翻译和虚假信息宣传活动。 法院文件显示，至少有三名未知人员参与了此次活动，他们利用窃取的Azure API密钥和客户Entra ID认证信息侵入微软系统，违反可接受使用政策，使用DALL-E创建有害图像。据信，还有另外七方使用了他们提供的服务和工具进行类似活动。 目前尚不清楚这些API密钥是如何被窃取的，但微软表示，被告从包括多家美国公司在内的多个客户那里进行了“系统性API密钥盗窃”，其中一些公司位于宾夕法尼亚州和新泽西州。 微软在一份文件中表示：“被告使用属于美国微软客户的被盗Microsoft API密钥，创建了一个‘黑客即服务’计划，该计划可通过‘rentry.org/de3u’和‘aitism.net’等基础设施访问，专门用于滥用微软的Azure基础设施和软件。” 一个现已被删除的GitHub存储库显示，de3u被描述为“具有反向代理支持的DALL-E 3前端”。该GitHub账户于2023年11月8日创建。 据说，在查封“aitism[.]net”后，这些威胁行为者采取了“掩盖行踪”的措施，包括试图删除某些Rentry.org页面、de3u工具的GitHub存储库以及反向代理基础设施的部分内容。 微软指出，这些威胁行为者使用de3u和一款名为oai反向代理的定制反向代理服务，利用被盗的API密钥向Azure OpenAI Service API发出请求，以文本提示非法生成数千张有害图像。目前尚不清楚创建了何种类型的攻击性图像。 运行在服务器上的oai反向代理服务旨在通过Cloudflare隧道将de3u用户计算机的通信传输到Azure OpenAI Service，并将响应传回用户设备。 “de3u软件允许用户通过简单的用户界面发出Microsoft API调用，利用Azure API访问Azure OpenAI Service，使用DALL-E模型生成图像，”微软解释道。 “被告的de3u应用程序使用未记录的Microsoft网络API与Azure计算机通信，发送旨在模仿合法Azure OpenAPI Service API请求的请求。这些请求使用被盗的API密钥和其他认证信息进行身份验证。” 值得一提的是，Sysdig于2024年5月指出，使用代理服务非法访问大型语言模型（LLM）服务与针对Anthropic、AWS Bedrock、Google Cloud Vertex AI、Microsoft Azure、Mistral和OpenAI等AI服务的LLMjacking攻击活动有关，这些攻击活动利用了被盗的云凭证，并将访问权限出售给其他行为者。 微软表示：“被告通过协调一致和持续的非法活动模式，开展Azure滥用企业的相关事务，以实现其共同的非法目的。” “被告的非法活动模式不仅限于对微软的攻击。微软迄今发现的证据表明，Azure滥用企业一直在瞄准并侵害其他AI服务提供商。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

By •January 12, 2025•Daily Blog

你可能错过的新鲜事网信办拟要求平台显著展示 MCN 机构名称1 月 10 日，网信办发布通知称，为规范 MCN 机构互联网信息内容相关业务活动，保障公民、法人和其他组织的合法权益，营造清朗网络空间

Name: UofTCTF 2025 (an UofTCTF event.)
Date: Jan. 11, 2025, midnight — 13 Jan. 2025, 00:00 UTC  [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://ctf.uoftctf.org/
Rating weight: 23.90
Event organizers: UofTCTF

Name: SUCTF 2025 (an XCTF-SUCTF event.)
Date: Jan. 11, 2025, 1 a.m. — 13 Jan. 2025, 01:00 UTC  [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://suctf2025.xctf.org.cn/
Rating weight: 24.75
Event organizers: SU

苹果应用商店收费案在英国开庭，要求罚款 18.3 亿美元1 月 13 日（周一），一场在英国提起长达四年之久的针对苹果应用商店收费的集体诉讼终于要开庭审理了，原告寻求高达 15 亿英镑（约合 18.3

亚马逊 Prime 将关闭其服装试穿服务，AI 功能接棒；WhatsApp 将支持用户在应用内创建个性化 AI 聊天机器人

感谢还在关注的你们，比心。跟大家说声抱歉，原计划发总结后发各模块的实践，但由于公司调整+孩子上小学+风控更严格等原因，2024年共发了2篇文件，创下近7年最少。好在质量很不错，感谢同学们捧场阅读量12

伪装成Chrome安装程序传播银狐最新变种

安全分析与研究专注于全球恶意软件的分析与研究前言概述 原文首发出处：https://xz.aliyun.com/t/16989先知社区 作者：熊猫正正近日，笔者捕获到一例伪装成Chrome安装程序传播

01.NET漏洞背景微软的.NET技术广泛应用于全球企业级产品，包括其知名的Exchange、SharePoint等，国内如某友的Cloud、某通的T系列、某蝶的云产品等也广泛采用。各行业核心业务均依