xiaohack's Blog: 科普 | 高帧率、好画质的「光追」是如何实现的?
除了与赛博朋克、公司殖民主义、边缘行者等名词高度绑定,现在当我们提起《赛博朋克 2077》这款游戏,出现在很多人还脑海里的自然也有 CDPR 借助光线追踪、DLSS 等技术在其 RED 引擎中所...
xiaohack's Blog: 浅谈AI Agent Skill 安全风险
返回文档 随着大语言模型(LLM)能力的持续迭代,Skill(技能)作为AI Agent的核心组成单元,是智能体实现特定功能的原子能力,例如文件读写、API调用、数据库操作等。然而,Skill技...
xiaohack's Blog: 微软捣毁大规模RedVDS网络犯罪虚拟桌面服务
韩国巨头Kyowon确认勒索软件攻击导致数据被盗微软更新曾触发安全警报的Windows DLL文件Reprompt攻击劫持Microsoft Copilot会话窃取数据FortiSIEM高危命令...
xiaohack's Blog: jsPDF 路径遍历漏洞分析(CVE
返回文档 一、漏洞概述 2026年1月3日,JavaScript PDF生成库 jsPDF 被披露存在一个严重的路径遍历漏洞(CVE-2025-68428) 该漏洞允许在Node.js环境下读取...
xiaohack's Blog: 针对国内用户的Rust加载器升级样本分析
返回文档 概述 2025年12月,笔者曾曝光了一款冒用国内数字签名的恶意软件。该恶意软件运行后,将创建计划任务并检测360安全软件进程,并最终在内存中释放AsyncRAT远控木马。 近期,笔者再...
xiaohack's Blog: 警惕LLM流式输出中的隐形漏洞
返回文档 引言流式输出(Streaming Output)已成为现代AI交互的标准功能。用户不再需要等待完整响应生成,而是可以实时看到AI的思考过程,这种体验极大地提升了用户粘性和交互自然度。然...
xiaohack's Blog: 记一次ASP站渗透测试经历
返回文档 0x 01 前言 在日常渗透测试中,总感觉ASP站打起来比较吃力,通常一些比较旧的站都使用ASP.NET WebForms这种类似桌面开发的框架来写Web程序。这类站点在登录界面甚至整...
xiaohack's Blog: FastCMS 0.1.6 插件系统RCE代码审计
返回文档 环境搭建 ●windows 10 ●jdk 17 ●mysql 5.7.26 ●fastcms 0.1.6 下载地址:https://github.com/my-fastcms/...
xiaohack's Blog: 车辆置换计划圆满成功,借小米的光,成为鹏友了
背景当初在站内分享过自己的置换计划,不知道有没有 v 友看到过。本周已经完成新购车辆的过户流程,和 v 友们同步下整个计划的完结过程供参考:整体时间线25.06.26 锁单小米 yu7 后,开始...
xiaohack's Blog: UU 远程好用到像盗梦空间
自来水一波,最近一直在上班的时候远程用用家里的 AI 。35 块一年美国大兵的 ChatGPT Plus ,和 25 一年的学生 Gemini Pro ,因为是羊毛产品 比较怕网络波动导致封号,...
xiaohack's Blog: 手握 30 亿、被蚂蚁狂挖人,转型被骂惨的王小川,真的翻身了?
在“大模型六小虎”成为历史后,王小川终于等来了自己的风口。 近日,国内外大厂在医疗领域动作频繁。1 月 8 日,OpenAI 高调入局,除了推出 ChatGPT Health,还收购了医疗保健初...
xiaohack's Blog: LangGrant 推出 LEDGE MCP 服务器,赋能企业数据库启用代理式 AI
LangGrant推出了 LEDGE MCP 服务器,这是一个新的企业平台,旨在让大语言模型在复杂的数据库环境中进行推理,而无需直接访问或暴露底层数据。该版本旨在消除组织在将代理式 AI 应用于...