方糖: 博客折腾记之二
过去的2025年,大部分都有在用Wordpress,然后大部分时间主题用的也是大发的,一路用下来感觉挺好的,感 […]
排序
雅余 · 茶余饭后,闲情雅致: 日常漫步 Vol.23 之澳门街头
澳门走街串巷续集。 By 理光 GR3,怀旧风格滤镜
xiaohack's Blog: 2025
时光奔流,我们即将与 2025 年挥手作别。感谢这一路上,每一位伙伴的并肩前行与坚定支持。今年,美团技术团队在持续深耕中涌现出不少值得分享的实践与开源产品&服务。我们从中精选了18篇具有...
xiaohack's Blog: AAAI 2026
AAAI 是人工智能领域顶级的国际学术会议,本文精选了美团技术团队被收录的 8 篇学术论文(附下载链接),覆盖大模型推理、 退火策略、过程奖励模型、强化学习、视觉文本渲染等多个技术领域,希望这些...
瓦匠不舟: 摄影的”意义”
那些随意留下的“作品”依旧是沉默的,不喧嚣,不张扬,如同我对摄影的态度一样。
xiaohack's Blog: KuiTest:基于大模型通识的 UI 交互遍历测试
1 背景近来,随着 App 的功能愈发复杂,UI(用户界面)的交互逻辑也随之多样化。为了保障用户体验,针对 UI 的功能测试一直是质量保障中的重要环节。传统的 UI 功能测试往往依赖于人工编写的...
xiaohack's Blog: 美团 LongCat-Flash-Thinking-2601 发布,工具调用能力登顶开源 SOTA!
近日,美团 LongCat 团队正式对外发布并开源 LongCat-Flash-Thinking-2601。作为已发布的 LongCat-Flash-Thinking 模型的升级版,LongCa...
xiaohack's Blog: java安全最严厉的父亲-fastjson 高版本利用
0x01 简介 主要还是看killer那个 ctf,然后以前实战也没怎么认真去打(坑太多了)。这次正好学习一下。0x02 fastjson 加载com.alibaba.fastjson.par...
xiaohack's Blog: 深度实例分析:攻防视角下的AI框架组件中的注入漏洞
深度实例分析:攻防视角下的AI框架组件中的注入漏洞在从事了一段时间对AI框架组件的安全审计研究后,也挖掘到了很多相似的注入漏洞RCE,对于目前的AI框架组件(PandasAI,LlamaIndx...
xiaohack's Blog: MCP 利用手法实战与防护思考
写在前面随着大模型智能体的发展,关于大模型工具调用的方式也在进行迭代,今年讨论最多的应该就是MCP了,新的场景就会带来新的安全风险,本文将对MCP安全场景进行探究总结。MCP概述先简单介绍一下概...
xiaohack's Blog: 还能这样对大模型输入投毒
写在前面对protswigger的第三个大模型prompt注入靶场进行实战记录。靶场地址:https://portswigger.net/web-security/all-labs#web-ll...
xiaohack's Blog: 重塑传统自动化漏洞挖掘的Multi-Agent框架攻防一体化实践
重塑传统自动化漏洞挖掘的Multi-Agent框架攻防一体化实践前段时间在某大厂做安全研究时,针对SDLC的重复性审计工作结合大模型Agent思索了一些可行的思路,便在不断摸索中构建了一个Mul...