2026年3月2日
30天内挖掘100+内核漏洞:Windows驱动安全大危机?
当AI成为黑客军火库,600美元成本如何撬动整个Windows驱动生态的安全根基? 前沿的大型语言模型在开源项目安全审计领域已经证明了其非凡价值。基于人工智能的研究人员发现了数十个(甚至可能数百个?)...
白帽故事
2026年3月2日
从一份配置文档到安全漏洞:400美元赏金的实战挖掘之旅
自动化侦察、历史数据挖掘与细致测试的完美结合 今天要分享一个真实的漏洞挖掘故事:如何通过自动化的侦察流程、历史URL的数据挖掘,以及一丝不苟的测试验证,成功发现一处中等危害级别的反射型跨站脚本攻击漏洞...
2026年2月26日
从提示注入到RCE:剖析AI智能体中的参数注入攻击
前言 现代AI智能体越来越多地执行系统命令,以自动化文件系统操作、代码分析和开发工作流程。虽然为了提高效率,其中一些命令被允许自动执行,但另一些则需要人工批准,这似乎提供了针对命令注入等攻击的可靠保护...
2026年2月24日
自动化 DAST 测试:Burp Suite + AI 智能体实战指南
想象一下告诉你的人工智能助手: “去扫描这个 Web 应用程序,报告漏洞,然后重新检查高风险端点”,而它真的能办到,底层使用的正是 BurpSuite Professional。 欢迎来到 MCP 支...
2026年2月12日
一次完整的Kubernetes黑盒渗透测试实战记录
引言 本指南将带你完成一次对Kubernetes集群的完整黑盒渗透测试。我们从零知识开始,逐步推进,直到实现整个集群的完全沦陷。每一个命令都经过了测试和验证。 什么是黑盒测试? 黑盒测试意味着我们具备...
2026年2月12日
手搓漏洞:4种无工具绕过邮箱验证的实战技法
在本文中,作者分享了一些在真实世界中,完全无需工具即可绕过邮箱验证的独特方法——无需 Burp Suite,无需扫描器,没有任何花哨的技术。 仅需一个浏览器、逻辑思维以及好奇心。 该文章适合那些喜欢靠...
2026年2月10日
10000美元赏金的炼成:在Google AI代码编辑器Antigravity中实现远程代码执行的技术剖析
在我们 Hacking AI Browsers 系列的延续中,我们又一次回归,这次的目标是 Google 的 Antigravity。 几周前,Google 发布了一款新的集成开发环境,名为 Anti...
2026年2月7日
信任链条上的又一道裂痕:揭秘另一个安全启动绕过漏洞 (CVE-2025-3052)
在本篇文章中,Binarly 研究团队详细记录了可能影响大多数支持 UEFI 的设备的安全启动绕过漏洞。此发现的核心是 CVE-2025-3052 (BRLY-2025-001),一个存在于微软第三方...
2026年1月31日
【CVE-2025-40551】:Solarwinds Web Help Desk又一处反序列化漏洞
Horizon3.ai 研究团队在 SolarWinds Web Help Desk (WHD) 中发现了一系列安全问题。这些问题包括: 一个通过反序列化实现的无需身份验证的远程代码执行漏洞。 一组允...
2026年1月29日
通过沙箱逃逸在 n8n 上实现远程代码执行 – CVE-2026-1470 和 CVE-2026-0863
近日,JFrog 安全研究团队发现并披露了 n8n 沙箱机制中的两个漏洞:CVE-2026-1470,评分为 9.9 分(严重),影响表达式求值引擎;以及 CVE-2026-0863,评分为 8.5 ...