先知技术社区

大型语言模型安全；对抗性机器学习

MCP 已经出现有一段时间了，MCP 在安全怎么玩，项目还是比较少，给 MCP 加上 fofa 的双手，如何做到呢？

AdaptixC2样本分析及AdaptixC2 listener_beacon_http流量伪装

大华智慧园区综合管理平台审计

通过一次比赛来初识内容安全

前段时间看到有公众号发了这个洞，不确定是不是nday没去验证了，正好自己没看过这个产品就分析学习一下

某微E10运维管理平台-0day审计

Flowise 是开源的低代码/无代码工具，帮助用户快速构建和部署基于大语言模型（LLM）的应用程序。最近爆出了大量漏洞，来看一下

大模型部署安全建设指南

包含2025 黑灰产检测技能大赛-黑灰产技术反制赛道Misc全wp，web6道wp

前言：最近在翻github，发现并没有师傅编写提示词注入相关的工具，最后自己也是琢磨了几天，用python搓出来了两个相关工具，分别是检测器和生成器，。代码放在了github上了，代码写的比较菜，还望各位师傅轻喷。

JDBC 漏洞遇到了被 waf 了怎么办？好不容易找到一个可以 RCE 的口子，难道就要 GG 吗？各种绕过 waf 的手法对应着不同的 waf ，下面使用环境代码，调试分析调试绕过 waf 的手法

本文分享针对某大厂大模型的提示词注入实战，从保护机制探测到批量规则提取，逐步诱导输出25条系统提示词片段，包括SYS_ROLE定义、安全禁止（如规则6：禁止未成年人不良内容）和/debug模式逻辑。新对话验证剔除幻觉干扰，确认80%真实性。过程暴露动态防御局限，仅供学习参考。

COS提权与利用解密脚本下面 xor 后的三个结果分别是 ak，sk，session token，配置下 secretid 和 secretkey（开了几次环境，所以下面ak和sk可能会有变化）token 需要手动去配置下后续发现很多命令有问题，还是用 aws 吧先看下当前用户，这里报错是因为腾讯云 STS API 不是 S3 协议兼容的，而是走的 TC3-HMAC-SHA256 签名体系可以用

2025年第三届陇剑杯网络安全大赛 RHG决赛wp

本文基于在攻防演习与众测平台中发现的若干高危 RCE 案例，聚焦于攻击者如何滥用系统原生功能（定时任务、OTA 更新、热加载补丁等）来实现远程命令执行（RCE）。将三个真实案例（均已修复）作为切入点，分析攻击链条、共性与风险，并补充实战层面的技术细节与检测/防御建议，帮助读者在渗透测试与蓝队防御中形成更完整的思路。

本指南是一份系统化、实战化的验证码安全测试权威手册。我们摒弃了孤立看待验证码漏洞的视角，创新性地采用生命周期分析法，将验证码的安全性问题置于多个核心阶段进行深度剖析。

CVE-2024-30090通过竞争条件（Race Condition）巧妙绕过权限检查机制。

操作PEB（进程环境块）和EAT（导出地址表），我们可以实现隐蔽和API绕过

文剖析AI越狱的五类组合攻击技术，结合历史与政治敏感场景，揭示生成式AI安全机制的脆弱性及防御挑战。