《构筑智能化攻防格局》提出“三位一体”安全实验室战略：以渗透测试、威胁情报、安全研究为支柱，通过领域专家制、流程固化与知识标准化，打造可复制的安全底座；引入AI智能体，实现威胁情报秒级研判、漏洞自动收集-分析-复现、渗透测试Multi-Agent报告生成，已把Tomcat CVE-2025-53506从披露到POC验证压缩至小时级。报告给出AI工具化→平台化→自主化三阶段路线图，目标让攻防策略随威

《轻装上阵：Javassist聚焦代码审计关键点实践》提出用字节码操作库Javassist突破传统正则与SAST瓶颈，精准提取Spring等框架的路由映射、方法参数与注解语义，自动识别Runtime.exec、ScriptEngine.eval等敏感sink；结合参数签名分析，复现JDBC任意文件写入等CVE，实现无源码、低成本的蓝军快速审计。工具已集成路由提取、sink定位、参数校验三大模块，可

《企业内部的渗透测试自动化探索》由平安科技廖汇铭分享，提出“API 资产中心 → 标准化用例 → AI 漏洞研判”三位一体自动化平台：通过流量镜像、语义打标、路径折叠去重，5 分钟完成 10 万级 API 分类（准确率 92-95%）；基于标签自动生成水平越权、SQL 注入、支付绕过等 200+ 标准化用例，分布式执行器 1 小时完成千接口测试；AI 研判智能体引入正向-反向双提示与证据链校验，越

《攻击者视角下的业务智能体渗透》由平安Hamber团队出品，聚焦大模型与智能体在金融科技场景中的新型攻击面。报告系统梳理提示词注入、工具滥用、身份伪装、MCP越权、知识库污染、XSS/SSRF/命令执行等10+实战手法，演示如何通过一次“查薪资”诱导智能体泄露他人工资、伪造token调用未公开接口、上传恶意MCP插件横向移动并获取内网shell。作者提出“智能体应用扫描-画像-决策”闭环渗透框架，