随风沐虐: Web 2.0 时代新闻聚合网站 Digg 重新上线
曾经与 Reddit 竞争的早期互联网社区 Digg 的重启计划正在推进。该公司如今已重新由其创始人凯文·罗斯(Kevin Rose)和 Reddit 联合创始人亚历克西斯·奥哈尼安(Alexis O...
xiaohack's Blog: 无标题
{"l1":"var arg1='5e44532ce4c99d0fa7f0ef6cf2a524aa757bd937c29d65067a';"}
xiaohack's Blog: 从某BAT大厂开源框架实战审计揭秘 LLM 集成框架中的隐蔽加载漏洞
从某实战审计揭秘 LLM 集成框架中的隐蔽加载漏洞最近在研究LLM集成应用框架时,在审计某BAT大厂的github18k大型开源LLM集成应用框架项目时发现了一处隐蔽的加载漏洞,虽然开发者打过了...
xiaohack's Blog: 还能这样对大模型输入投毒
写在前面对protswigger的第三个大模型prompt注入靶场进行实战记录。靶场地址:https://portswigger.net/web-security/all-labs#web-ll...
xiaohack's Blog: 一文带你看懂MQTT——MQTT pwn初探
MQTT讲解MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议),是一种基于发布/订阅(publish/subscribe)模式的“轻量级”通...
xiaohack's Blog: 深度实例分析:攻防视角下的AI框架组件中的注入漏洞
深度实例分析:攻防视角下的AI框架组件中的注入漏洞在从事了一段时间对AI框架组件的安全审计研究后,也挖掘到了很多相似的注入漏洞RCE,对于目前的AI框架组件(PandasAI,LlamaIndx...
xiaohack's Blog: MCP 利用手法实战与防护思考
写在前面随着大模型智能体的发展,关于大模型工具调用的方式也在进行迭代,今年讨论最多的应该就是MCP了,新的场景就会带来新的安全风险,本文将对MCP安全场景进行探究总结。MCP概述先简单介绍一下概...
xiaohack's Blog: java安全最严厉的父亲-fastjson 高版本利用
0x01 简介 主要还是看killer那个 ctf,然后以前实战也没怎么认真去打(坑太多了)。这次正好学习一下。0x02 fastjson 加载com.alibaba.fastjson.par...
xiaohack's Blog: 谷歌现已允许用户更改@gmail.com邮箱地址,功能正在逐步推出
微软捣毁大型RedVDS网络犯罪虚拟桌面服务关键漏洞使黑客能通过蓝牙音频设备追踪与窃听OpenAI隐藏版ChatGPT翻译工具正挑战谷歌翻译FortiSIEM严重命令注入漏洞的利用代码已公开谷歌...
xiaohack's Blog: ChatGPT现在能更可靠地查找和记忆您的历史对话
微软捣毁大型RedVDS网络犯罪虚拟桌面服务蓝牙音频设备关键漏洞让黑客可追踪与窃听OpenAI隐藏版ChatGPT翻译工具挑战谷歌翻译FortiSIEM命令注入关键漏洞利用代码已公开Gootlo...
xiaohack's Blog: 科技爱好者周刊(第 381 期):中国 AI 大模型领导者在想什么
这里记录每周值得分享的科技内容,周五发布。本杂志开源,欢迎投稿。另有《谁在招人》服务,发布程序员招聘信息。合作请邮件联系([email protected])。封面图刚刚运营的北京通州站位于地下...
阮一峰的网络日志: 科技爱好者周刊(第 381 期):中国 AI 大模型领导者在想什么
这里记录每周值得分享的科技内容,周五发布。...
