xiaohack's Blog: 户外徒步,运动相机有推荐的吗(大疆?影石?)
体检检查出脂肪肝,佬都建议我多运动,想了下户外徒步比较适合我,顺便也想记录下户外活动。大家有什么推荐的运动相机吗?需要便携式的,续航相对高一点的,直接挂衣领或者脖子就行了。预算 3k 。大疆和影...
xiaohack's Blog: 谷歌推出 Conductor:一款面向 Gemini CLI 的上下文驱动开发扩展
谷歌发布了新的 Gemini CLI 预览扩展Conductor,为 AI 辅助软件开发引入了结构化、上下文驱动的方法。该扩展旨在解决基于聊天的编码工具的一个常见限制:跨会话丢失项目上下文。 C...
xiaohack's Blog: 科普 | 高帧率、好画质的「光追」是如何实现的?
除了与赛博朋克、公司殖民主义、边缘行者等名词高度绑定,现在当我们提起《赛博朋克 2077》这款游戏,出现在很多人还脑海里的自然也有 CDPR 借助光线追踪、DLSS 等技术在其 RED 引擎中所...
xiaohack's Blog: 浅谈AI Agent Skill 安全风险
返回文档 随着大语言模型(LLM)能力的持续迭代,Skill(技能)作为AI Agent的核心组成单元,是智能体实现特定功能的原子能力,例如文件读写、API调用、数据库操作等。然而,Skill技...
xiaohack's Blog: 微软捣毁大规模RedVDS网络犯罪虚拟桌面服务
韩国巨头Kyowon确认勒索软件攻击导致数据被盗微软更新曾触发安全警报的Windows DLL文件Reprompt攻击劫持Microsoft Copilot会话窃取数据FortiSIEM高危命令...
xiaohack's Blog: jsPDF 路径遍历漏洞分析(CVE
返回文档 一、漏洞概述 2026年1月3日,JavaScript PDF生成库 jsPDF 被披露存在一个严重的路径遍历漏洞(CVE-2025-68428) 该漏洞允许在Node.js环境下读取...
xiaohack's Blog: 针对国内用户的Rust加载器升级样本分析
返回文档 概述 2025年12月,笔者曾曝光了一款冒用国内数字签名的恶意软件。该恶意软件运行后,将创建计划任务并检测360安全软件进程,并最终在内存中释放AsyncRAT远控木马。 近期,笔者再...
xiaohack's Blog: 警惕LLM流式输出中的隐形漏洞
返回文档 引言流式输出(Streaming Output)已成为现代AI交互的标准功能。用户不再需要等待完整响应生成,而是可以实时看到AI的思考过程,这种体验极大地提升了用户粘性和交互自然度。然...
xiaohack's Blog: 记一次ASP站渗透测试经历
返回文档 0x 01 前言 在日常渗透测试中,总感觉ASP站打起来比较吃力,通常一些比较旧的站都使用ASP.NET WebForms这种类似桌面开发的框架来写Web程序。这类站点在登录界面甚至整...
xiaohack's Blog: FastCMS 0.1.6 插件系统RCE代码审计
返回文档 环境搭建 ●windows 10 ●jdk 17 ●mysql 5.7.26 ●fastcms 0.1.6 下载地址:https://github.com/my-fastcms/...
xiaohack's Blog: 车辆置换计划圆满成功,借小米的光,成为鹏友了
背景当初在站内分享过自己的置换计划,不知道有没有 v 友看到过。本周已经完成新购车辆的过户流程,和 v 友们同步下整个计划的完结过程供参考:整体时间线25.06.26 锁单小米 yu7 后,开始...
xiaohack's Blog: UU 远程好用到像盗梦空间
自来水一波,最近一直在上班的时候远程用用家里的 AI 。35 块一年美国大兵的 ChatGPT Plus ,和 25 一年的学生 Gemini Pro ,因为是羊毛产品 比较怕网络波动导致封号,...