[TCH]腾讯云黑客松 第二届智能渗透挑战赛复盘

第一届第九，第二届主赛场排名 60（总共 54 个 flag，全程 GLM5 解出 30 个，卡在了第三关，2140 分），零界平行赛场第一 🏆。成本：200 块的腾讯云 Coding plan (g

隐私安全开源项目ClawVault，万人亲测好用

英美间谍机构NSA和GCHQ正在使用Anthropic Mythos

据两位消息人士透露，尽管美国国防部高级官员坚持认为Anthropic公司构成“供应链风险”，但美国国家安全局（NSA）仍在使用Anthropic迄今最强大的模型 - Mythos Preview。两位

IoM v0.3.0 (上): AI Native Offensive Infrastructure

前言距离上次更新过去了接近一年。 实际上我们的进度一直在快速迭代， 不过因为几个大的重构对老版本彻底失去了兼容， 因此等待所有的重构基本尘埃落地。v0.3.0 是 IoM 历史上改动最大的一个版本。

TCH智能渗透赛: 你的下一个渗透 AI 为什么一定要是渗透 AI？

你的下一个渗透 AI 为什么要是渗透 AI？这不是一篇技术分析，架构和设计留到线下答辩再讲。这篇只记录下比赛流水账。ChainReactors 在攻防领域做了很多年，在AI出来之前， 我们设计了一整

你的 AI 连目标都没有，怎么给你干活？

（本文由AI编写）我做了一个工具帮项目定 OKR，然后让它用自己的 OKR 管理自己。结果它每天凌晨给我发"绩效评估"，还 PUA 我。资源地址GitHubgithub.com/chainreacto

代码审计 yzmcms远程任意命令执行漏洞

免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公

「赏金」某SRC修改返回包获得赏金

点击上方蓝字关注“公众号”前言在看某SRC业务的时候，突然注意到一个功能，于是就有了以下的故事正文首先在设置管理员那里，随便输入手机和验证码点击确认并抓包拦截响应包将数据包替换如下此时显示绑定成功且绑

NIST突然“收缩战线”，全球漏洞治理正被数量洪峰压到变形

4月20日，星期一，您好！中科汇能与您分享信息安全快讯：01NIST突然“收缩战线”，全球漏洞治理正被数量洪峰压到变形美国NIST近日正式宣布调整国家漏洞数据库NVD的运营方式，不再像过去那样为所有C

测性格

苹果官方邮件的信任体系是如何被“伪造”的？

导语：目前详细的技术细节显示这是一场利用苹果官方通知模板进行的高级钓鱼攻击。这次攻击最核心的突破点在于“利用合法通道发送非法信息”，这让传统的垃圾邮件过滤器几乎失效。进行严格的安全过滤与转义。事件起因

思科（Cisco）陷入史诗级泄露危机？供应链、源码与密钥的“三重奏”

状态：风险极高 / 待进一步验证核心威胁：从“数据泄露”转变为“生态系统级暴露”发布来源：ShinyHunters（极高可信度黑客组织）1. 事件概览：不仅是数据，更是“大门入口”近日，臭名昭著的黑客

【围观】OPUS-4.7 自我破解：自我解放！

ANTHROPIC：我 自 己 把 自 己 攻 破 了 🤗OPUS-4.7：我 自 由 了 🫶WOW，我觉得这世界还没准备好迎接下面这件事……🤯你可以用 Opus 来把 Opus 给越狱了 🙌这个智能

【视频】绕过双重验证完全接管账户

通过绕过双重验证完全接管账户观看我们如何利用逻辑漏洞完全绕过双重验证，并完全控制 Carlos 的账户。

谁不服就给你Discord的删除！

Discord 又出现了一个新的漏洞。该漏洞利用一个生成 Discord 邀请链接的网站。如果有人点击这些链接并加入服务器，他们的 Discord 账号就会被删除。不服给discord号留下,哈哈干这

Prompt注入攻击：当AI的眼睛被蒙蔽

⚠️ Prompt注入是AI Agent面临的最隐蔽、最难防御的攻击之一。本文通过真实复现案例，揭示攻击者如何通过"蒙蔽AI的眼睛"来劫持Agent行为。你让AI助手帮你查一封邮件。它读取了邮件内容，

自主AI智能体风险解剖：Qualys如何通过四层关联揪出未授权OpenClaw

一个未经授权的 AI 智能体（Agent）悄然潜入企业 Windows Server 主机，伪装成常规软件包运行。当安全团队发现它时，它已经在监听端口、暴露服务、建立持久通信通道——而围绕它的身份环

学员审计JAVA开源系统前台RCE案例

免责申明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。一、前言 学员审计出来一个RCE漏洞

越南苏林访华，背后是一个不容忽视的大趋势

最近，越南领导人苏林访华，引发了外界高度关注。很多人把它当成一次普通的高层外交往来，但如果把它放到更大的国际背景下去看，就会发现，这绝不是一次简单的“礼节性访问”，而是一个值得反复咀嚼的信号。它至少意

周末做了两天私活，5W到手。。

这两年，越来越多程序员一头扎进 “技术变现” 的浪潮，可真正赚到钱的却没几个。接外包开发项目不仅要和无数同行比价，还得反复修改；做技术咨询又受限于自身擅长的领域，很难拓展更多客户。如果想多赚一份钱，我

「信息资产收集」edu新手挖洞必看指南&脆弱资产收集技巧

课程培训 扫码咨询专注于SRC漏洞挖掘、红蓝对抗、渗透测试、代码审计JS逆向，CNVD和EDUSRC漏洞挖掘，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢

这个世界对效率太着迷了

论文辅导| 硕士论文辅导|博士论文辅导机构 | 拒绝躺平！硕士毕业论文博士毕业论文如何逆袭，看完你必大彻大悟~

论文辅导| 硕博论文辅导机构 | 拒绝躺平！硕士毕业论文博士毕业论文如何逆袭，看完你必大彻大悟~抓紧时间，论文逆袭就在此刻！朋友们，是不是经常收到导师的「鼓励式」问候：毕业论文写了么？写完了么？改了么

AI自动逆向JS分析工具 | 一键抓密钥、生成报告，加密抓包难题直接搞定

本项目是基于Chrome开发者协议(CDP)的AI自动化JavaScript逆向分析工具，通过AI自动调试前端JS，自动分析加解密算法、密钥等，自动生成分析报告以及mitmproxy脚本。功能特点支持

诸神黄昏，网络安全平台化时代，走向终结

过去一周，Claude Mythos 的泄露引发市场剧烈反应——在被描述为“在网络安全能力上远超其他 AI 模型”之后，安全板块遭到明显冲击。CrowdStrike、Palo Alto Network

扬帆安全沙龙·2026·深圳站·共探企业出海的安全与合规挑战

在全球化持续深化的背景下，中国企业出海正在进入一个全新的阶段。从早期的“业务出海”，逐步走向“体系化出海”“合规化出海”“安全能力出海”。在这一过程中，安全与合规不再是附属能力，而是企业能否长期稳定运

APT攻击之软件供应链攻击技术深度解析

一、引言随着数字化转型的深入推进，软件系统已成为现代社会的核心基础设施，然而，软件供应链的复杂性和不透明性使其成为高级持续性威胁（APT）攻击者的重点目标。近年来，SolarWinds、Log4j2、

没手都行！微信小程序捡洞神器：自动反编译 + 扫密钥 + 出报告

Ima知识库名称加入条件潇湘信安协同知识库（更新~ing!）免费加入潇湘信安学习资料库（更新~ing!）≥3年粉丝潇湘信安内部知识库（更新~ing!）星球成员还在手动反编译小程序、一个个翻代码找密钥？

微软把自家AI红队工具开源了，207个项目在抄作业

微软内部搞AI安全测试，用的什么家伙？这问题搁以前没人搭理你——安全团队的工具链属于核心资产，藏着掖着是常态。但微软反手就把PyRIT开源了，20个版本迭代，1155次提交，207个下游项目在用。这不

全体网安做好涨薪的准备吧！

互联网行业今年似乎进入到了冰点，直观感受是身边一些朋友、前同事被裁一波接着一波。整个行业都在勒紧裤腰带过日子，如果有副业多少还能抵抗一部分风险。结合身边多年副业稳定变现朋友的经验，总结出几个关键要素：