2026年5月1日
我用F#构建了一个Game Boy模拟器
作者:Nick Kossolapov · 2026年4月 作者作为一名软件工程师已有超过8年的工作经验,但他坦言自己从未真正理解计算机是如何工作的。因此,他打算尝试通过模拟一台计算机来学习其工作原理。...
求知若饥,虚心若愚。
2026年5月1日
Copy Fail 如何仅用732字节获得Root权限
来自Xint代码研究团队 Copy Fail (CVE-2026-31431) 是Linux内核authencesn加密模板中的一个逻辑缺陷。它允许一个本地非特权用户以确定、可控的方式,向系统上任何可...
2026年4月16日
MCP服务器安全:隐藏的AI攻击面
简单一句话总结 – MCP服务器——连接AI助手与外部工具和数据的集成层——是一个重要但未被充分探索的攻击面。我们的研究表明,本地托管和第三方的MCP服务器都可能被利用来执行任意代码、窃取敏感数据、并...
2026年4月14日
AI 在现实中寻找到真正N-Day漏洞的表现如何?
凌晨三点,某家科技公司的服务器安静地运转着。代码库里躺着几十万行代码,没人知道其中藏着一个刚刚被公开的漏洞。 与此同时,一行代码都没敲,一个黑客都没出手——但AI模型已经发现了它。 这不是科幻,而是N...
2026年4月7日
Gemma 4 VS Qwen 3.5 本地部署测评
上周 Google 隆重推出了 Gemma4 开源模型,号称史上最强开源模型(据说对标的是当前最火热的 Qwen3.5),于是骨哥迫不及待的在本地部署并进行了一系列测试,让我们一起来看看结果吧。 测试...
2026年3月26日
用报废车零件运行特斯拉Model 3 的电脑
特斯拉运营着一个漏洞悬赏项目 (bug bounty program),邀请研究人员寻找其车辆中的安全漏洞。为了参与,我需要实际的硬件,于是我开始在eBay上寻找特斯拉Model 3的零件。我的目标是...
2026年3月26日
【CVE-2026-26123】微软身份认证器 DeepLink 漏洞
当你的身份验证应用成为最薄弱一环:一个无主深层链接如何泄露数百万微软账户 概述 微软身份验证器用于安全引导用户登录或通过二维码启用双因素认证 (2FA) 的 ms-msa:// 深层链接,实际上并未被...
2026年3月23日
AI辅助漏洞挖掘:四种方法的实测与挫败
我测试了四种AI辅助查找漏洞的方法,持续约一周。找到了真实的漏洞——20分钟内在一个目标中确认了14个漏洞。同时也浪费了时间在一种毫无成果的方法上。 AI确实能找到漏洞——这是真的。但它找到的哪些漏洞...
2026年3月18日
他用那一瞬间的电压波动,干碎微软13年安全神话!
2026年RE//verse安全大会现场,一个名叫Markus Gaasedelen的男人,当着全世界的面,按下了一个按钮。 下一秒,那台被微软吹了13年、号称“永远不会被破解”的Xbox One,屏...
2026年3月18日
LinkedIn(领英)最新高危(8.1)漏洞披露
一个从未被清理的静态字段、一个缺少锚点的正则表达式,再加上一处无人校验的协议漏洞——这三者叠加,竟能让两次普通的广告点击操作,直接导致用户的领英账号会话被完全接管。 本文将详细介绍国外白帽在领英And...