先知技术社区

2026阿里白帽大会 - Kaminsky重现：重新思考DNS辖区原则实现的安全性

本文是一篇探讨如何将AI（尤其是大语言模型）与Web3智能合约安全审计深度结合的技术实践与方法论文章。基于实际工作经验，提出在AI时代，真正高效的自动化代码审计不应依赖简单的指令或具体的漏洞案例，而应回归“提示词编写（Prompt Engineering）”的基本功。

本文对帆软FineReport的项目结构，路由映射和历史漏洞进行详细分析，旨在为想要审计帆软报表的读者提供详尽的入门指南。

2026白帽大会 - 破局与重构：多模态AI Agent的红蓝对抗效率革命

仿真内网、内网渗透、横向移动、权限维持、多层代理、evasion

前言这个漏洞是英国 MDSecLabs 的 Filip Dragovic 发现的，据作者讲述，这个漏洞由于很巧妙，它们在红队评估中从2025年1月就开始使用，直到2026年2月报告给微软后，才在3月的补丁星期二修复，这么看也用够本了，原文只是讲了漏洞的核心部分，本文会讲清楚这个漏洞涉及的概念、如何形成的，如何利用它原文地址：https://www.mdsec.co.uk/2026/03/rip-r

引言随着大型语言模型（LLM）和深度学习技术在安全领域的广泛应用，传统的基于特征码、抽象语法树（AST）或沙箱行为分析的 Webshell 检测手段正逐渐向基于 AI 的语义分析演进。AI 模型能够理解代码的逻辑意图，从而识别出经过复杂混淆的恶意脚本。然而，AI 模型本身存在一个本质性的弱点：它们在处理代码时，往往将代码逻辑与注释、元数据等“非执行内容”置于同一语义空间进行推理。这就为提示词注入（

PyTorch torch.export.load 隐藏的反序列化 RCE 漏洞

2026楚慧杯Web方向全解

溯源流量题目：traffic_hunt

CVE-2026-31975：Cloud CLI WebSocket Shell OS命令注入漏洞分析

Mystic Stealer是 2023 年出现的一种信息窃取工具，主要攻击Web 浏览器和加密货币钱包，并具有重度的代码混淆特征。笔者详细对比了该软件的不同版本，指出其利用常量展开和多态技术来隐藏 C2 服务器等关键配置。通过对解密算法的深入剖析，笔者总结出对其批量化提取配置的脚本。

原创

随着 Claude Code 的普及，大量用户选择通过第三方中转站（API Proxy）来使用 Claude 模型。然而，中转站作为用户与官方 API 之间的中间层，天然具备篡改请求和响应的能力。本文将从上下文空间异常、模型造假、提示词投毒三个维度，揭示中转站可能存在的安全风险，并给出对应的检测方法。

分享一下最近挖的两个0Day的思路

本文收集了软件安全赛2026线上初赛全部题的wp

为积极响应国家关于加强软件工程学科建设与系统安全人才培养的战略部署，特举办软件系统安全赛。本赛事面向大学生，聚焦大型工业软件、关键基础软件等核心领域软件漏洞的挖掘、攻击与修复，通过模拟真实场景的攻防对抗，全面提升大学生在软件系统安全领域的实战能力。 通过此项科技创新活动，有效提高学生的软件系统安全攻防水平、创新意识与团队协作精神，加强高校间的学术交流，推动软件工程与网络安全人才培养体系的深化改革和

Yokan 是一款专为网络安全从业人员、研究机构和企业红队设计的一体化 Web 渗透测试与外网打点平台。系统采用完全自定义的工具流架构，深度集成 ICP 官方查询、AI 智能 Fuzzing 推断以及“指纹到漏洞（Fingerprint-to-POC）”的自动化工作流。

本文主要是针对一款开源AI MCP框架的原理进行分析，看看其中的实现逻辑。

本文仅分享某AI项目漏洞挖掘过程，不涉及poc以及任何黑盒测试内容，感兴趣的师傅可以自行复现