MCP Server 测试
点击蓝字 关注我们一什么是MCPMCP(Model Context Protocol,模型上下文协议)是一套开放的标准协议,用来让大模型应用(Host,如 Claude Desktop、IDE 插件等
阅读全文通过java-audit-skills分析Java靶场
字数 618,阅读大约需 4 分钟前言前言安装使用 Skill 分析项目有师傅私信问我,大模型应用在安全领域上的 Skill 怎么学。我个人觉得还是先用起来。总有人跑得比我们快,以前用别人的脚本当脚
阅读全文CVE-2026-3888:Snap 存在重要漏洞,可导致本地权限提升至 root
威胁简报恶意软件漏洞攻击Qualys威胁研究部门发现了一个影响Ubuntu桌面版24.04及更高版本默认安装的本地权限提升(LPE)漏洞。该漏洞(CVE-2026-3888)允许非特权本地攻击者通过两
阅读全文APT28 / FancyBear 钓鱼框架
威胁简报恶意软件漏洞攻击此目录包含来自暴露的作战服务器 (203.161.50[.]145:8889) 的网络钓鱼和 C2 框架副本。仅供研究和文档记录之用。1. 如何运行它要求Python 3Fla
阅读全文360SRC助力 | 直播预约!顺丰SRC第四届白帽技术沙龙,干货抽奖全都有!
# 顺丰SRC第四届白帽技术沙龙暨2025年度白帽颁奖盛典白帽师傅集合!■ ■ ■03/28星期六各位白帽师傅集合啦!第四届顺丰SRC白帽技术沙龙暨2025年度白帽颁奖典礼一年一度,如约而至!邀请每一
阅读全文间谍活动闯入现实:当基础设施成为情报收集通道
Part01共享服务带来的安全困境现代企业依赖的共享服务、统一身份认证层和互联服务提供商,正成为犯罪团伙和国家背景黑客组织的渗透路径。这种依赖关系的重叠已成为CISO(首席信息安全官)必须应对的核心安
阅读全文Betterleaks革新密钥扫描,比Gitleaks更快更准
Part01工具概述密钥扫描已成为工程组织的标准实践,而Gitleaks是该领域应用最广泛的工具之一。该项目作者近日发布了一款名为Betterleaks的新工具,专门用于扫描Git代码库、目录和标准输
阅读全文Amazon Bedrock、LangSmith和SGLang的AI漏洞可致数据泄露与远程代码执行
Part01Amazon Bedrock沙盒模式曝DNS数据窃取风险网络安全研究人员披露了一种通过域名系统(DNS)查询从AI代码执行环境窃取敏感数据的新方法。BeyondTrust周一发布的报告指出
阅读全文键盘记录器全面解析:从工作原理到防御策略
Part01键盘记录器基础概念键盘记录器(Keylogger)堪称最古老的恶意软件形式,其历史甚至可追溯至打字机时代。这种监控软件通过记录用户键盘输入来窃取数据,并将捕获的信息发送给第三方。网络犯罪分
阅读全文Memfit AI 专业记忆:Agent 动手之前,先翻了一遍你的知识库
我们在上一篇文章:Memfit AI: 连续渗透测试N小时不迷路的生产级AI Agent中聊了 Memfit AI 如何像一个真人渗透测试工程师一样自主工作——规划任务、执行攻击、动态调整策略。跑了两
阅读全文美国防酒驾系统因网络攻击瘫痪多天,全国大量车辆无法启动、民众出行受影响
关注我们带你读懂网络安全美国酒精检测服务商Intoxalock称遭到DDoS攻击,导致旗下防酒驾检测系统瘫痪多天,所有安装其检测装置的车辆均无法启动,民众出行受到影响;该事件影响了全美46个州,仅缅因
阅读全文伊朗黑客组织在美以空袭前半年内密集预置基础设施
编者按美国网络安全公司Augur于3月19日发布题为《伊朗 2026年威胁态势评估》的研究报告称,伊朗黑客组织在遭受美以突袭前6个月内进行了密集的基础设施预置,旨在抵御军事打击,并确保其全球黑客行动的
阅读全文每周蓝军技术推送(2026.3.14-2026.3.20)
WEB安全Swagger Jacker:审计OpenAPI定义文件的安全问题https://bishopfox.com/blog/swagger-jacker-auditing-openapi-def
阅读全文【公益译文】2026年国际AI安全报告(一)
执行摘要本报告评估通用AI的能力、潜在风险以及风险管控方式。AI能力极速提高,但其风险相关依据较少且难以评估。本报告旨在帮助政策制定者应对AI技术相关依据不足的问题。AI能力提升迅速,但不稳定。自20
阅读全文在逆向分析方面-unidbg真的适合 MCP 吗?
一、引言MCP(Model Context Protocol)是当下 AI 工具链的热门话题。当 unidbg 社区引入 MCP 功能后,不少人觉得这是个好方向——让 AI 直接操作调试器,下断点、读
阅读全文你的下一份好工作在这里,安全圈职位上新
有意向者可点击文末【阅读原文】投递简历~职位更新深圳软牛科技集团股份有限公司 职位经验/学历薪资地点逆向开发工程师应届毕业生/本科面议深圳高级逆向开发工程师3-5年/本科面议深圳长按识别关于岗位详情及
阅读全文顶级iPhone黑客工具“DarkSword”曝光:六连环漏洞,多国用户数据遭窃
一个名为“DarkSword”的高级漏洞利用套件,自2025年11月起被多个商业监控软件厂商及国家级黑客组织使用,已导致沙特阿拉伯、土耳其、马来西亚和乌克兰等地的用户成为目标,其个人数据面临严重泄露风
阅读全文新课火热报名中:效率提升10倍!高版本VMP逆向+插件开发全流程
做逆向的朋友,你是不是也遇到过这种情况:拿到一个加了壳的程序,一眼认出是VMProtect,心里瞬间咯噔一下——低版本还能靠着经验手动扒一扒,碰到3.5以上的新版本,直接无从下手。handler藏得深
阅读全文【漏洞通告】Langflow 任意文件创建漏洞 CVE-2026-33309
漏洞名称:Langflow 任意文件创建漏洞(CVE-2026-33309)组件名称:Langflow影响范围:1.2.0 ≤ Langflow ≤ 1.8.1漏洞类型:任意文件创建利用条件:1、用户
阅读全文网络安全信息与动态周报2026年第11期(3月9日-3月15日)
本周网络安全基本态势本周,互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威
阅读全文美国司法部捣毁操控 300 万台设备的物联网僵尸网络
高危漏洞 紧急修复指南 RCE Patch 美国司法部(DoJ)宣布,在一项获得法庭授权的执法行动中,成功捣毁了多个物联网(IoT)僵尸网络(如 AISURU、Kimwolf、JackSkid
阅读全文伊朗黑客组织在美以空袭前半年内密集预置基础设施
编者按美国网络安全公司Augur于3月19日发布题为《伊朗 2026年威胁态势评估》的研究报告称,伊朗黑客组织在遭受美以突袭前6个月内进行了密集的基础设施预置,旨在抵御军事打击,并确保其全球黑客行动的
阅读全文【已复现】Langflow ≤1.8.1 远程代码执行漏洞
漏洞概述漏洞名称Langflow ≤1.8.1 远程代码执行漏洞安恒CERT评级1级CVSS3.1评分10.0CVE编号CVE-2026-33017CNVD编号未分配CNNVD编号未分配安恒CERT编
阅读全文内存故障引发的“幽灵哈希”:一个关于数据完整性的案例分析与思考
点击上方蓝字“小谢取证”一起玩耍 点击上方蓝字“小谢取证”,一起玩耍。本期邀请到一位在电子数据取证行业内从事几十年的专家风筝,给大家带来一期关于内存故障引发的“幽灵哈希”:一个关于数据完整性的案
阅读全文CAN总线常见的错误帧及产生原因
点击上方蓝字谈思实验室获取更多汽车网络安全资讯CAN(Controller Area Network)总线是一种广泛应用于汽车、工业自动化等领域的串行通信协议。在 CAN 总线通信过程中,可能会出现多
阅读全文完整名单揭晓|致敬汽车守护者,谈思AutoSec 汽车网络安全行业10周年重磅奖项名单公布!
点击上方蓝字谈思实验室获取更多汽车网络安全资讯3 月 12 日,由谈思实验室和谈思汽车联合主办的“AutoSec汽车网络安全行业10周年荣耀盛典”在沪举行。值此中国汽车网络安全行业拓荒十载、迈向全球的
阅读全文龙虾归笼,筑牢底座:CSA GCR大会嘉宾揭晓
点击上方蓝字谈思实验室获取更多汽车网络安全资讯人工智能浪潮奔涌,安全边界何在?第九届 CSA 大中华区大会·前沿人工智能安全峰会(4月2日 上海)嘉宾阵容正式揭晓!政府&产业领袖:战略与治理裘 薇
阅读全文日产(中国)任命首位中国籍总经理
点击上方蓝字谈思实验室获取更多汽车网络安全资讯3月20日,日产汽车宣布,日产(中国)投资有限公司宣布了中国区高级管理层调整,并将于2026年4月1日起正式生效。刘新宇,原日产(中国)投资有限公司总经理
阅读全文记一次“有手就行”的从SQL注入到文件上传getshell的简单过程
漏洞原理SQL 注入漏洞的原理是应用程序没有对用户输入进行充分的验证和过滤,导致攻击者可以在输入框中插入恶意的 SQL 代码。当应用程序将用户输入的数据拼接到 SQL 查询语句中时,攻击者插入的恶意代
阅读全文