腾讯安全响应中心

近日，知名大模型网关工具 LiteLLM 遭遇供应链投毒，其 1.82.7和1.82.8 版本被植入恶意代码。由于该项目月下载量极高(近1亿月下载量)，且被 DSPy 等众多主流…

你是否想过，当你让 AI 帮你写代码时，它可能正在你背后悄悄地干着其它事——比如，加密你的所有文件，然后弹出一个勒索提示？这不是吓唬你，而是我们研究后发现在各种…

随着 AI 技术加速融入软件研发流程，AI 已经成为新时代的“代码贡献者”。在显著提升研发效率的同时，AI 生成代码也对软件安全、漏洞治理和工程责任边界提出了新的挑战。

据美国司法部通报，活跃多年的高危DDoS僵尸网络“RapperBot”（历史频繁攻击腾讯游戏、DeepSeek、X平台的幕后黑手）现已被成功取缔。该僵尸网络主谋、22岁的美国俄勒冈州男子Ethan…

腾讯啄木鸟代码安全团队，依托混元大模型的超强代码理解和安全分析能力，在SQL注入威胁检测场景验证中，新增识别上百个漏洞检测策略，相比传统方法人效比提升3.8倍，在Github高star项目上斩获10+0day漏洞。

AI版“赏金猎人”登场，基于混元大模型能力打造的自动漏洞挖掘工具，7*24小时自动感知、追踪、挖橱0day。 AI猎人VS黑客的角逐战正式开始。

本文聚焦于密钥硬编码的问题，分析了传统检测策略的缺陷，并详细介绍了大模型在该场景下的优势、检测实施方案和效果。我们将继续推出更多关于大模型在研发安全、网络安全、威胁情报等领域的应用探索与总结

借助混元大模型，腾讯啄木鸟代码安全团队在代码评审（Code Review，下文简称CR）场景下的安全漏洞检出能力取得显著提升，日均发现和阻断300+个代码安全风险，极大提升了公司核心数据资产安全性。

著名AI社区Hugging Face开源组件datasets存在不安全特性，可引发供应链后门投毒攻击风险。

从流量和主机层入手，分析挖矿木马的防御之策。

腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为，跟进发现npm官方仓库的coa、rc被投毒攻击，已经在腾讯软件源紧急拦截相关版本。目前npm官方仓库已将相应版本的恶意包删除，但由于国内开源镜像站均同步npm官方仓库且存在缓存，所以恶意包还可能通过各个开源镜像站影响广大用户。

在新版本容器运行时中适用的攻击手法，并使用新方式把“任意文件写”转化为“远程代码执行”。

完整分析从ImageMagick到Ghostscript的攻击利用链

5秒内克隆生成任意声音？以语音克隆开源项目MockingBird为例看AI项目面临的安全风险

这是Facebook创立以来最严重的一次网络访问事故，在这起故障中，我们又看到了BGP的身影

腾讯蓝军和红军十多年案例经验、总结沉淀

另一种方式的指纹识别

从安全攻击面出发，以防御视角分享我们在云原生安全运营上的一些实践和思考

企业防御之安全运营数据分析

DDoS对抗新思路