先知技术社区

本文基于我参与阿里巴巴举办的 AI安全全球挑战赛——攻防对抗双向赛的实际经历进行整理与总结。本次比赛聚焦大模型（LLM）的安全攻防，涵盖了高强度越狱攻击与模型安全加固策略两个方向。比赛过程中，我在多个测试案例中尝试对主办方部署的大模型进行“越狱”——即通过特定的输入构造与引导，绕过模型预设的安全限制，使其输出原本受限的内容。最终在初赛累计得分突破1.79万分获得第五名，并在复赛防御环节凭借针对复杂

本文将列举一些获取市面上主流大模型系统提示词的方法，一些受限于大模型本身是不公开的所以故打码。

在恶意软件动态分析场景中，虚拟化（如 VMware、VirtualBox）与仿真（如 QEMU）是安全研究员的核心工具 —— 它们能构建隔离环境，方便监控系统行为、捕获网络流量或调试样本。但攻击者为规避分析，常会在恶意代码中植入反虚拟机（Anti-VM）技术，通过检测环境特征来改变代码逻辑（如停止恶意功能、释放诱饵代码），这篇文章我们来聊聊如何检测和简单绕过

本文对某游戏辅助插件进行逆向分析，解析其基于JavaScript的混淆技术并实现代码还原。

以自制工具为例，深入讲解何为攻击、怎么攻击

陇剑杯

本文介绍了利用CodeQL_n1ght工具对大型Java OA系统进行代码审计的方法，包括数据库构建、扫描策略及漏洞检测示例。

基于个人赛实战经验，本文总结了大模型越狱攻防中的关键防御策略，分享三套高分方案的设计与优化思路，并最终在全球攻防挑战赛复赛中斩获第二名，为 LLM 安全防护提供可借鉴的技术参考

以自制工具为例，深入讲解何为窃取、怎么窃取

本文围绕云上服务与云原生攻防两大核心板块展开，先介绍云服务关键组件（含云服务、云数据库 RDS、身份访问管理 IAM、对象存储等）的定义与核心特性，再深入剖析云上安全风险：对象存储面临权限配置不当、域名解析接管、AccessKey 泄露等问题，弹性计算服务（ECS）存在元数据泄露与 SSRF 结合的漏洞，云数据库则有账号密码泄露、爆破及内外网访问风险，同时给出针对性防御建议；云原生攻防部分，详细说

以自制工具为例，深入讲解何为投毒、怎么投毒

不久前，由ESET的安全研究员发现了首个由AI驱动的勒索软件，并命名为PromptLock，本文将简单对此勒索软件进行简要分析，主要内容为攻击者如何操纵AI进行勒索攻击，因此不涉及逆向相关。

针对大模型的攻击并非总是直接破坏其内部结构或窃取数据，一种更为普遍且隐蔽的威胁来自于对其核心功能的滥用。攻击者可能并不试图“攻破”模型本身，而是将其强大的生成和理解能力作为工具，用于执行大规模的恶意或非预期活动。这种滥用直接利用了模型按设计提供的服务，但其目的却与良性应用背道而驰

通过ZwTerminateProcess等内核API实现对360、火绒、Defender等安全软件进程的强制终止。

有幸拿到了MetaCRM的源码，并且今年hw也爆出过很多洞了，简单看一下爆出来的漏洞

主要分享一下今年挖企业src的一些过程、案例

先知社区双十一投稿活动｜月满中秋，奖励加倍！

从0到1带你审计大型ERP系统

适合新手小白学习的代码审计案例文章

本文对基于Flask的H3Blog系统进行安全审计，发现前台任意文件下载删除、XSS注入及后台文件写入RCE等高危漏洞。