《组件安全：AI检测与漏洞利用路径预测》聚焦于解决现代软件依赖复杂、风险不可见的痛点。报告提出从“黑暗地图”到“点亮地图”的思路转变，通过自动化依赖分析、多源漏洞情报聚合与AI智能验证，构建了一套组件风险识别系统。该系统利用Gemini等大模型进行风险分类与场景构建，并生成CodeQL规则实现精准扫描。实战演示了从漏洞收集到风险场景落地的全流程，实现了对第三方组件风险的可见、可测、可防，为软件供应

《智体赋能：基于大模型Agent的自动化渗透测试框架设计与实践》提出了一个以多智能体（Multi-Agent）为核心的自动化渗透测试新范式。该框架通过任务编排、资产收集、漏洞测试等20余种原子能力智能体，结合RAG、ReAct等机制，实现了从目标侦察到漏洞利用的全流程AI自主决策与执行。报告展示了如何集成外部工具、构建领域知识库，并通过实战案例验证了其在漏洞挖掘、权限提升等方面的有效性。未来将进一

《后渗透新维度：利用Chrome插件后门实现持久化与凭据窃听》揭示了Chrome插件在攻防对抗中被武器化的巨大风险。报告指出，恶意插件可依托Chrome可信进程，以低感知方式实现静默安装与持久化，并利用广泛权限窃取Cookie、监听网络请求、记录键盘输入等。通过分析插件运行原理、武器化安装手法（如HMAC绕过）及实战功能（如Cookie监听、请求窃听），展现了其作为隐蔽后门的强大能力。该研究为防御

《红队视角下的海外SRC猎场：战略、战术与突破》聚焦于如何以红队思维在竞争激烈的海外漏洞赏金市场中取得突破。报告提出从“打点式”漏洞挖掘转向“战役式”系统作战，通过情报驱动精准定位高价值目标。针对传统自动化工具的瓶颈，引入以AI Agent为核心的“人机协同”战术框架（MCP），并结合实战案例，展示了从资产发现到SSO控制、RCE获取的完整攻击链。报告强调，AI是效率倍增器，但人类专家仍是价值创造

《低空防线：无人机通信协议模糊测试与系统安全研究新突破》聚焦于多旋翼无人机的通信协议安全与系统漏洞挖掘，提出了一套基于模糊测试的无人机安全研究框架。 剖析了无人机的软硬件架构，涵盖飞行控制系统、通信模块、传感器及操作系统（如RTOS与ROS），并揭示了多个关键安全漏洞，包括飞行姿态欺骗、BMS电池状态欺骗、GPS定位欺骗等，攻击者可借此误导地面控制站，导致无人机失控、迫降甚至坠毁。 在通信协议

《车联网漏洞挖掘方法及典型案例剖析》由格物实验室马良主讲，系统梳理智能网联汽车从钥匙、IVI、T-Box到充电桩的全链路攻击面：内存安全、命令注入、固件提取、API越权、无线中继等“老问题”在车内重现，2024-2025 Pwn2Own Automotive共暴露98个0-day，奖金222万美元，IVI与充电设施成重灾区。报告给出“以攻促防”实战套路——硬件拆焊、固件逆向、CAN重放、蓝牙嗅探、