骨哥说事

从一份配置文档到安全漏洞：400美元赏金的实战挖掘之旅
作者：骨哥说事发布日期：2026-03-02 10:48:45
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
30天内挖掘100+内核漏洞：Windows驱动安全大危机？
作者：骨哥说事发布日期：2026-03-02 10:48:45
当AI成为黑客军火库，600美元成本如何撬动整个Windows驱动生态的安全根基？前沿的大型语言模型在开源项目安全审计领域已经证明了其非凡价值。基于人工智能的研究人员发现了数十个（甚至可能数百个？）人
阅读全文
九年前的恐惧，今天的预演：为什么 2026 年的你更应该看《AlphaGo》这部纪录片
作者：骨哥说事发布日期：2026-02-27 11:30:14
"当机器展现出无法解释的智慧时，我们恐惧的不是失败，而是发现自己可能不再特殊。"【视频链接在文末】一、引子：两个时代的焦虑共振2016 年 3 月，韩国首尔。世界围棋冠军李世石坐在棋盘前，额头渗出细密
阅读全文
从提示注入到RCE：剖析AI智能体中的参数注入攻击
作者：骨哥说事发布日期：2026-02-26 10:28:55
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
AI 编程助手安全盲区：Claude Code 漏洞揭示的代码安全新挑战
作者：骨哥说事发布日期：2026-02-26 10:28:55
随着 AI 编程助手（如 Claude Code、GitHub Copilot、Cursor 等）在企业和开发者中的快速普及，它们已经从辅助写代码变成可以直接执行命令、访问项目环境、修改文件乃至调用
阅读全文
【科普】关于模型提取攻击（蒸馏攻击）
作者：骨哥说事发布日期：2026-02-25 15:49:43
🧠 什么是“蒸馏模型”（Model Distillation）？想象一下，老师把一本厚厚的教科书，通过讲解变成易懂的笔记，传授给学生。这个过程就是蒸馏（Distillation）的一个类比。在 A
阅读全文
自动化 DAST 测试：Burp Suite + AI 智能体实战指南
作者：骨哥说事发布日期：2026-02-24 11:52:40
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
Wolfram 技术融入 LLM：从“语言回答器”到真正可“计算思考”的 AI
作者：骨哥说事发布日期：2026-02-24 11:52:40
✨ 导语：AI 不只是说话，它也要“算得准、算得快”我们现在常见的大语言模型（LLM），比如 ChatGPT、Claude、Gemini 等，擅长用自然语言回答问题，但它们本身并不具备真正的精确计算
阅读全文
一次完整的Kubernetes黑盒渗透测试实战记录
作者：骨哥说事发布日期：2026-02-13 00:00:00
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
人类安全研究员辞职，警告“世界正处于危险之中”
作者：骨哥说事发布日期：2026-02-13 00:00:00
「Anthropic AI 安全负责人辞职并发出警告：当技术进步遭遇伦理与责任拷问」2026 年 2 月，一位在 AI 安全领域备受关注的研究负责人选择了极不寻常的离职方式：他在公开的辞职信中写道「
阅读全文
手搓漏洞：4种无工具绕过邮箱验证的实战技法
作者：骨哥说事发布日期：2026-02-12 10:15:37
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
FBI 从“残留数据”中恢复门铃摄像头视频并引发隐私担忧
作者：骨哥说事发布日期：2026-02-12 10:15:37
📸 一、事件概况 — 门铃摄像头“已删除”视频竟被找回在 Nancy Guthrie 案件中，联邦调查局（FBI）成功从她家门口的智能摄像头（Google Nest）中提取出原本被认为已无法获取的视
阅读全文
10000美元赏金的炼成：在Antigravity中实现远程代码执行
作者：骨哥说事发布日期：2026-02-11 00:00:00
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
蛰伏的Shell：攻击者如何在Ivanti EPMM中植入休眠后门
作者：骨哥说事发布日期：2026-02-10 15:11:13
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
美国就业市场冲击：1 月裁员 108,000+，AI 被提及 7,600 多次
作者：骨哥说事发布日期：2026-02-10 15:11:13
📉 一、裁员规模创十六年同期新高2026 年 1 月，美国雇主发布的最新裁员数据显示，全美宣布裁员 108,435 人，是自 **2009 年金融危机以来同期最高水平。([福布斯][1])与 2025
阅读全文
【Portswigger】2025年十大Web黑客技术：侧信道攻击崛起，创新方法重塑安全边界
作者：骨哥说事发布日期：2026-02-08 11:19:33
欢迎来到 2025年十大Web黑客技术榜单的揭晓时刻！这是我们由社区驱动的年度评选活动第19届，旨在识别去年发布的最具创新性和必读性的Web安全研究成果。这篇博文是与安全社区三步协作的高潮。在过去一
阅读全文
AI 深度伪造诈骗致老人毕生积蓄受损：技术滥用下的安全防御盲区
作者：骨哥说事发布日期：2026-02-08 11:19:33
导语：随着人工智能技术迅猛发展，其在生成逼真语音与视频内容方面的能力也达到了前所未有的水平。然而，技术进步的另一面正在快速显现——深度伪造（deepfake）被不法分子用于精心设计的诈骗活动，重创了普
阅读全文
【CVE-2025-3052】信任链条上的又一道裂痕：揭秘另一个安全启动绕过漏洞
作者：骨哥说事发布日期：2026-02-07 23:50:16
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
Claude Opus 4.6 在主要开源库中发现 500+ 高严重性缺陷
作者：骨哥说事发布日期：2026-02-07 23:50:16
🔍 事件概述：AI 模型主动找漏洞**2026 年 2 月 6 日，Anthropic 发布了其最新大型语言模型 Claude Opus 4.6，该模型在预发布测试中发现了超 500 个之前未知的高严
阅读全文
【CVE-2025-40551】：Solarwinds Web Help Desk又一处反序列化漏洞
作者：骨哥说事发布日期：2026-02-01 00:00:00
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
通过沙箱逃逸在 n8n 上实现远程代码执行 - CVE-2026-1470 和 CVE-2026-0863
作者：骨哥说事发布日期：2026-01-31 00:00:00
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
CISA高层涉密文件泄露事件：公共AI模型中的数据安全合规挑战
作者：骨哥说事发布日期：2026-01-31 00:00:00
导语近日，一则看似“荒诞”的安全事件在全球科技圈引发热议：美国负责国家网络与基础设施安全的代理负责人，竟在工作中将标注为 “For Official Use Only（仅限官方使用）” 的敏感政府文件
阅读全文
云端Moltbot（原Clawdbot）+ Discord 手把手教程
作者：骨哥说事发布日期：2026-01-30 10:59:31
防走失：https://gugesay.com/archives/5242不想错过任何消息？设置星标↓ ↓ ↓经过一个晚上的折腾，终于将Discord配置好了，说实话，Clawdbot+Discord
阅读全文
Windows 电话服务远程代码执行漏洞剖析
作者：骨哥说事发布日期：2026-01-29 00:00:00
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
【工具】PentestAgent：利用 AI 助力渗透测试的开源武器
作者：骨哥说事发布日期：2026-01-29 00:00:00
📌 导语：AI 渗透测试工具兴起伴随大语言模型（LLM）和 AI 代理技术在各个领域的快速发展，网络安全工具也正经历一场变革。PentestAgent 作为一个开源 AI 辅助渗透测试框架，试图将自然
阅读全文
【CVE-2026-24061】GNU telnetd 致命认证绕过漏洞
作者：骨哥说事发布日期：2026-01-28 10:54:56
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
OpenAI 推出 Prism 工作空间
作者：骨哥说事发布日期：2026-01-28 10:54:56
📌 从科研痛点出发的“AI工作空间”在科学研究的日常实践中，论文写作、引用管理、方程处理、团队协作等任务长期被分散在不同工具之间——研究者需要在文本编辑器、PDF 阅读器、 LaTeX 工具、文献管理
阅读全文
AI检测的失效边界：为何 ChatGPT 难以识别 Sora 生成的深度伪造视频
作者：骨哥说事发布日期：2026-01-28 10:54:56
📌 导语：AI 生成 vs AI 识别的惊人鸿沟随着 AI 生成式内容（AIGC）工具的爆炸性发展，像 OpenAI 的 Sora 这样的文本到视频生成模型已经能够创造出逼真的伪造影像，让人眼难以分辨
阅读全文
Instagram 漏洞，私密帖子可被任意访问
作者：骨哥说事发布日期：2026-01-27 00:00:00
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文
【CVE-2026-23760】SmarterMail 特权账户接管
作者：骨哥说事发布日期：2026-01-26 10:42:20
声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c
阅读全文