先知技术社区

分析了当下最火的openclaw的防御模式

本文复现 2026SUCTF 四道题目，涵盖 glibc 2.41 堆题、内核驱动及 V8 引擎漏洞。SU_minivfs 利用 write 函数的 off-by-null 污染 chunk header，结合 House of Einherjar 与 FSOP 劫持控制流；SU_Chronos_R

结合代码分析OpenClaw远程代码执行漏洞（CVE-2026-28466）

总结来说，Auto Login Skill 不只是一个自动化工具，它更是一种 AI 技能在网络安全领域的落地实践。 从自动识别系统到智能纠错，再到多技能联动，它展示了 AI 在渗透测试等网络安全任务中的巨大潜力（还比如钓鱼很多场景提效）。

本文仅分享某AI项目漏洞挖掘过程，不涉及poc以及任何黑盒测试内容，感兴趣的师傅可以自行复现

本文分析帆软FineReport的channel接口反序列化漏洞（含TreeBag、ImmutableSetMultimap等多条利用链）、FineVis插件任意文件写入漏洞，并列举V8/V9老版本历史漏洞。

重新手搓了两个pwn的脚本，作用写在注释里面了

2026阿里白帽大会 - Kaminsky重现：重新思考DNS辖区原则实现的安全性

仿真内网、内网渗透、横向移动、权限维持、多层代理、evasion

2026阿里CTF MHGA题解：基于ViburDBCP与HessianProxy的JNDI注入高版本绕过研究

Donut免杀以及进程空心化分析

2026白帽大会 - 破局与重构：多模态AI Agent的红蓝对抗效率革命

对ivanti CVE-2025-0282进行漏洞复现包含详细的漏洞利用过程和exp

随着HTTPS加密通信的普及，传统基于明文特征的流量检测方法逐渐失效，恶意软件也越来越多地利用TLS协议隐藏其通信行为，给安全检测带来了新的挑战。针对这一问题，JA3指纹技术通过对TLS ClientHello消息中的关键字段进行特征提取与哈希计算，实现了在加密流量环境下对客户端行为的有效识别。

01 前言Winget钓鱼是一种容易被防御者忽视的钓鱼方式，以至于公开的文件滥用后缀中并没有它：https://filesec.io/本文会详细介绍这种新的钓鱼伪装技术，包括漏洞复现、涉及的概念，如何一步步构造及原理02 漏洞复现压缩包内有Lnk文件jianli.lnk双击jianli.lnk后可以看到成功弹出了伪装的pdf文档，并下载执行了putty.exe03 前置知识3.1 Powershe

本文收集了软件安全赛2026线上初赛全部题的wp

打靶记录分享

BLE 蓝牙协议：对智能设备的BLE抓包实战 (HCI + 空口)

基于ICSim模拟can总线来学习车辆网安全，学习伪造攻击和重放攻击基础

2026楚慧杯Web方向全解