爆火 5 万星的 Hermes Agent,底层逻辑竟然只是“记笔记”?
两个月 5.2 万 Star,Hermes Agent 用一个"LLM 审判官"机制实现了 Agent 的自我进化——不改模型权重,只改"怎么用模型"的策略。我逐行读完源码后发现:所谓的"自动学习",
阅读全文用Claude Code写代码太烧钱?这个开源神器帮你省40%的token
一个月花多少在AI编程上用 Claude Code、Cursor、Cline 这些 AI 编程工具的人,大概都有个体会:token 消耗比想象中快得多。尤其是 Claude Code 这种按量计费的,
阅读全文AI Infra 其实没有多少新东西
随着大模型技术的爆发,AI Infra 已成为基础设施领域的核心战场。过去1年多的时间,我们团队落地了多个大模型应用,包括语音合成大模型、内容理解多模态大模型、生成式推荐大模型,跑通大模型训练到推理的
阅读全文GitHub上7.3万star的安全工具箱,一键集成百款渗透神器
先说为什么这个工具值得关注搞渗透测试的人都有个痛点:环境搭建太费时间。nmap、sqlmap、metasploit、burpsuite……每个工具单独装,依赖不同、版本不同、光配置就能折腾一整天。ha
阅读全文深入浅出Harness Engineerring之核心模式与理念
01Claude Code 1.1 持久化指令文件没有这个文件时,每次对话都像从头开始,相同的规则和错误可能反复出现。代价:文件需要随项目更新维护,否则可能误导智能体。 1.2 作用域上下文组
阅读全文刚发现!英伟达官网能免费调用160+大模型(附完整攻略)
昨天刷技术群,突然看到有人甩了个链接,说英伟达官网上能免费用一堆大模型。说实话,第一反应是:又是标题党吧?毕竟这种"免费白嫖大模型"的消息,隔三差五就能看到,点进去要么是试用额度抠搜得要命,要么就是注
阅读全文一个网页就能控制你的AI助手
先讲个真实发生的事今年四月,网络安全圈被一份报告刷屏了。Forcepoint X-Labs(网络安全公司 Forcepoint 的威胁研究实验室)的研究人员在野外发现了十个正在活跃的恶意攻击样本。这些
阅读全文从 GPT-5.5 看懂 AI Agent 的安全边界
这篇不是"模型跑分解读"。如果只看分数,很容易得出一个简单结论:GPT-5.5 更强了,尤其在代码、工具使用、网络研究、复杂任务执行和网络安全能力上都有明显提升。但真正值得关注的,不是它又强了多少。而
阅读全文732字节,提权所有Linux,这个漏洞藏了9年
就在几天前,4月29日,安全研究员Taeyang Lee公开了一个Linux内核本地提权漏洞,代号Copy Fail,编号CVE-2026-31431。一个普通用户,跑一个732字节的Python脚本
阅读全文OWASP 这张 AI 安全图,值得一看
如果你们公司已经把大模型接进了知识库、客服、代码助手、工单系统,甚至开始让 Agent 调用内部工具,那 AI 安全就不再是"模型会不会乱说话"的问题了。更麻烦的是:它可能会看错、拿错、查错、传错,甚
阅读全文GPT-5.5网络攻击能力测评:10分钟干完人类12小时的逆向题
4月30日,英国AI安全研究所(AISI)发布了对OpenAI GPT-5.5网络攻击能力的独立评估。结论很明确:GPT-5.5是AISI测试过的最强网络攻击模型。 专家级CTF通过率71.4%,第二
阅读全文扫了500个AI Agent项目,85%有漏洞,排名第一的居然不是prompt注入
AI Agent安全公司Inkog刚发了一份报告,用自动化扫描引擎扫了GitHub上500多个开源AI Agent项目。结论四个字:触目惊心。85.2%的项目有安全漏洞。63.4%有CRITICAL或
阅读全文零废话!一文讲透从0构建AI Agent
01概念全景图LLM(大语言模型) │ │ 厂商通过 HTTP 提供调用能力 ▼LLM API │ │ 客户端维护对话历史数组 ▼Context(上下文) │ │ 告诉 LLM "你有哪些工具可
阅读全文米其林和法国银行都在用的AI安全测试工具-开源免费
我给一个客户做AI系统安全评估的时候,遇到一个问题:怎么系统化地测一个AI聊天机器人到底安不安全?手动测太慢,一个一个构造prompt去试探注入、数据泄露、幻觉,一天也测不了几个场景。用自动化工具吧,
阅读全文华为和信通院发了一份AI安全报告
华为、中国信通研究院、中国人工智能产业发展联盟安全治理委员会联合发布了《2026行业数智化AI安全实践研究报告》。75页,覆盖金融、政务、医疗、制造四大行业。这份报告没有讲"AI有多危险"的空话,而是
阅读全文AI渗透测试终于有了像样的Web界面
最近在GitHub上刷到一个叫Xalgorix的开源项目,定位是"AI自主渗透测试平台"。简单说就是:你给它一个目标URL,它会自己调用85个安全工具,按照22个阶段的渗透方法论,从侦察、扫描、漏洞利
阅读全文让9个AI模型写代码,一半有漏洞,最强的反而最危险
GitHub最新调查数据:92%的开发者正在使用AI编码工具。Google内部超过25%的新代码由AI生成。Anthropic的CEO预测,6个月内AI将写出90%的代码,一年内"基本上所有代码"都由
阅读全文网安法大修:AI写进法律了,最高罚1000万
Fortune报道:Anthropic Mythos模型被Discord小组泄露4月23日,Bloomberg爆出一条让安全圈炸锅的消息:Anthropic宣称"太危险不能公开"的Claude Myt
阅读全文100种漏洞、56个工具、4层验证,拆解一个AI渗透测试平台
用过AI做安全测试的人大概都经历过——AI信誓旦旦地说"发现SQL注入",手动一验证,就是个普通的报错页面。这不是AI笨,是AI太"配合"了。训练数据里"发现漏洞"是正向反馈,所以它倾向于把任何异常响
阅读全文一个人,882次提交,把AI安全测试这件事做到了平台级
最近看到一句话挺有感触的:"AI不会取代安全工程师,但会用AI的安全工程师会取代不会用的。"问题是,怎么"会用"?装个ChatGPT写prompt?还是把安全工具一个个接进去?前者太浅,后者太累。有没
阅读全文斗象开源了个AI安全保险箱,思路有点不一样
AI Agent的安全问题,前面写了好几篇,基本都在讲"怎么发现问题"和"怎么拦截危险操作"。但有个维度一直没人认真做:AI Agent到底碰了你什么东西?你的密钥文件、合同PDF、数据库配置、SSH
阅读全文绿盟出手了,给AI Agent装了个实时"保镖"
AI Agent的安全问题,最近越来越离谱了。不是模型本身出问题,而是Agent有了执行权限之后,一个prompt注入就能让它帮你删库、偷密钥、反弹shell。这种事已经不是理论上的风险了,实战中屡屡
阅读全文斯坦福AI报告出来了,聊聊几个数据
斯坦福HAI发布了第9份年度报告《2026年人工智能指数报告》(AI Index Report 2026),423页,覆盖研发、经济、科学、医疗、教育、政策和公众舆论。各大媒体都在解读中美AI竞争格局
阅读全文微软把自家AI红队工具开源了,207个项目在抄作业
微软内部搞AI安全测试,用的什么家伙?这问题搁以前没人搭理你——安全团队的工具链属于核心资产,藏着掖着是常态。但微软反手就把PyRIT开源了,20个版本迭代,1155次提交,207个下游项目在用。这不
阅读全文腾讯开源了个AI红队平台,一口气覆盖了55个AI组件
最近腾讯朱雀实验室更新了一个项目——A.I.G(AI-Infra-Guard),定位是AI红队平台。不是新项目,但最近更新方向发生了很大变化:从AI基础设施安全扫描,扩展到了整个Agent生态的安全评
阅读全文网络安全圈炸了:有人把754个专业技能喂给了AI
前几天逛GitHub,刷到一个让人眼前一亮的项目。一个叫mukul975的开发者,搞了个Anthropic-Cybersecurity-Skills仓库,一口气开源了754个网络安全技能,专门给AI代
阅读全文别只盯着提示词注入,你的系统还有这些漏洞
OWASP出了一份162页的中文安全指南《OWASP AI Exchange》,把攻击面拆成了开发、使用、运行三个阶段。大部分团队只防了提示词注入,但窗户还全开着。AI安全的攻击面,比你以为的大得多大
阅读全文国人搞了个AI安全运营平台,两周迭代12个版本
最近在GitHub上看到一个有意思的项目——Flocks,一个AI原生的SecOps(安全运营)平台。来自AgentFlocks团队,Python写的后端,TypeScript写的前端,Apache
阅读全文OpenAI专门做了一款"黑客版AI":4.15国家安全日,AI武器化已经开始了
4月14日,OpenAI发了GPT-6。同一天,几乎没人注意到,他们还悄没声地放出了另一个模型——GPT-5.4-Cyber。这个模型不写诗、不做客服、不帮你写周报。它只干一件事:帮安全专家拆解恶意软
阅读全文9.9元就能造黄色视频:央视曝光的AI黑产链,比你想象的离谱得多
4月12日晚上,央视《财经调查》播了一期节目。内容很直接:有人在网上公开卖"用AI批量制作擦边视频"的教程,最便宜的,9.9元一套。9.9元。还不够买一杯奶茶。但央视记者实测了一下,结果让他自己都愣了
阅读全文